Uma única instância do ADCS pode conter mais de um namespace de PKI?

Question

Uma única instância do ADCS pode conter mais de um namespace de PKI?

#1 resposta do (1 votos)
#2 resposta do (0 votos)

2

Eu quero salvar a licença do sistema operacional, simplificar as renovações de CRL e ter mais de uma instância de certificado em um determinado servidor.

Para mim, isso faz sentido do ponto de vista da segurança, porque eu tenho:

Uma CA que age como a raiz, que precisa publicar & renove CRLs para servidores de políticas (próximo ponto)
Existem muitos, muitos servidores de Políticas (2ª camada) que são restringidos por restrições de Nome ou usos de EKU. Da mesma forma, esses também precisam publicar muitos CRLs e registros AIA.
Atualmente, estimamos uma necessidade de 10.000 a 50.000 servidores de políticas. Cada servidor de políticas terá uma CRL armazenada no armazenamento de blobs do Azure, com um contêiner dedicado para cada servidor para escalabilidade de E / S.

Com base na saída do certutil -ping (ou seja, o parâmetro config), parece que posso ter mais de uma configuração por instância do ADCS.

Além disso, vários outros parâmetros do Certutil (e a API correspondente) me permitem especificar a "instância" à qual desejo me conectar.

/// --- NOTE: The ability to specify an individual config seems to indicate multiple PKIs are possible per box:
PS C:\Windows\system32\CertSrv\en-US> certutil -ping -config "a.Issue01.bitclear.us\Secure Issuer 01a-001"
Connecting to a.Issue01.bitclear.us\Secure Issuer 01a-001 ...
Server "Secure Issuer 01a-001" ICertRequest2 interface is alive (0ms)
CertUtil: -ping command completed successfully.

 /// --- NOTE "Entry 0" implies that more entries are possible
PS C:\Windows\system32\CertSrv\en-US> certutil -v
Entry 0: (Local)
  Name:                         'Secure Issuer 01a-001'
  Organizational Unit:          'Email Privacy'
  Organization:                 'Bitclear LLC'
  Locality:                     ''
  State:                        ''
  Country/region:               'us'
  Config:                       'a.Issue01.bitclear.us\Secure Issuer 01a-001'
  Exchange Certificate:         ''
  Signature Certificate:        'a.Issue01.bitclear.us_Secure Issuer 01a-001.crt'
  Description:                  ''
  Server:                       'a.Issue01.bitclear.us'
  Authority:                    'Secure Issuer 01a-001'
  Sanitized Name:               'Secure Issuer 01a-001'
  Short Name:                   'Secure Issuer 01a-001'
  Sanitized Short Name:         'Secure Issuer 01a-001'
  Flags:                        '13'
  Web Enrollment Servers:
1
4
0
https://a.issue01.bitclear.us/Secure%20Issuer%2001a-001_CES_UsernamePassword/service.svc/CES
0
CertUtil: -dump command completed successfully.

É possível hospedar mais de um PKI por host ADCS? Como isso seria feito?

Além disso, lembro-me de haver discussões que podem ser possíveis no passado, mas não tenho certeza se elas foram implementadas.

Todo:

Testarei essa teoria com um CertFile personalizado e um novo nome quando executar o comando

certutil -installcert [-f] [-gmt] [-seconds] [-v] [-config CAMachineName\CAName] [CACertFile]

É possível que isso também esteja de alguma forma relacionado a "PolicyServers" e "EnrollmentServers" pode ser conectado com este comando. A capacidade de separá-los da instância principal do ADCS é muito interessante e a nota é realmente documentada.

active-directory ad-certificate-services consolidation

por random65537 19.06.2014 / 04:29

2 respostas

Tags active-directory ad-certificate-services consolidation

No local para o Office 365, necessário Posso ter dois sites do IIS usando um certificado SSL em que um é uma “subpasta”?

score 1 · Answer 1

Meu entendimento é que você só pode ter uma instância do ADCS por host e até 3 CAs na floresta do AD. O "\ CA Name" é mais sobre o nome da sua Árvore PKI e não deve ser confundido com instâncias do tipo \ INST1 vistas na Configuração do MSSQL, que é o que eu acho que você pode estar pensando.

Seria uma boa prática manter suas CAs separadas, pois, se todas estivessem em um host, o host deve ser comprometido. Todas as CAs do host estão comprometidas.

Se você tivesse várias árvores PKI na sua floresta, você veria várias entradas do certutil.

Há a capacidade de dissociar o servidor da Diretiva de registro usando o Servidor de registro de políticas da Web - útil para ambientes DMZ em que você precisa emitir certificados externamente.

score 0 · Answer 2

Não é tecnicamente possível ter mais de uma hierarquia de PKI em um servidor e é uma má idéia do ponto de vista da segurança, como foi mencionado (ponto único de falha). O papel do ADCS vincula-se à identidade do servidor no AD, de forma que a única maneira de alterar o DN da hierarquia seria extorquir o papel e começar de novo.

No que diz respeito às licenças, não acredito que a CA raiz off-line precise ser algo especial. Você poderia tecnicamente gerar o material de chave em um host Linux e publicá-lo no AD a partir da sua CA de emissão da empresa, contanto que o ponto de extremidade CRL e AIA correspondesse.