PKI Emissão de CA em controladores de domínio

2

Estou configurando uma PKI que inicialmente será usada internamente. Como podemos aumentar nosso uso disso, optei por uma hierarquia de três níveis - CAs de diretiva e de diretiva offline (uma CA de diretiva no momento para uso interno) e CAs emissoras on-line. Inicialmente, havíamos discutido o uso de nossos controladores de domínio como CAs de emissão, em vez de configurar os dedicados.

Agora estou começando a ter dúvidas sobre se é uma boa ideia fazer nossos CDs emitirem certificados. Temos menos de 1000 usuários, então nossos CDs não são muito sobrecarregados.

Alguém tem alguma sugestão a favor ou contra isso?

No momento, estamos executando o Windows 2003 Active Directory, mas faremos a atualização para o Windows 2008 no próximo ano. Estou configurando o Windows 2008 PKI.

    
por dunxd 30.12.2010 / 12:25

1 resposta

3

Um pouco tarde, mas de qualquer maneira. Geralmente não é recomendado implantar o papel da autoridade de certificação em um controlador de domínio. Isso dificulta a atualização do AD, já que é necessário atualizar o DC para versões mais recentes do sistema operacional. Isso é difícil se mudar de sistemas operacionais baseados em sistema operacional de 32 bits para sistemas operacionais de 64 bits, como o Windows Server 2008 R2. Além disso, como a preferência é promover a criação de novos DCs limpos, em vez da atualização in-loco, quando se trata de rebaixar o antigo combo DC / CA, fica complicado.

    
por 17.07.2011 / 15:09