CA do Windows: alterne o certificado raiz autoassinado com o certificado do provedor

Question

CA do Windows: alterne o certificado raiz autoassinado com o certificado do provedor

#1 resposta do (0 votos)

2

Em nosso domínio do Windows (servidores 2008R2 e 2012R2), estamos executando uma CA de domínio. O certificado raiz é um certificado autoassinado.

Também temos um certificado x.509 do nosso provedor de Internet (principalmente para nossos sites), assinado por uma CA confiável da Internet.

O que eu quero fazer é remover o certificado raiz autoassinado da CA do Windows e substituí-lo pelo certificado do nosso provedor.

Duas perguntas: 1. isso é mesmo possível? Posso usar um certificado de uma CA confiável como certificado raiz para minha própria autoridade de certificação? 2. isso será possível sem rebater todo o domínio? Eu acho que os controladores de domínio precisam dos certificados para sua comunicação LDAP, o que acontecerá se eu mudar o certificado raiz que eles usaram para criar seus próprios certificados?

Obrigado pela sua ajuda!

windows certificate-authority

por Tobias 23.11.2015 / 13:40

1 resposta

Tags windows certificate-authority

Como eu configuro um AD DC para responder a ligações LDAP em ldaps: //? Por que essa instância do AWS provisionada pelo Vagrant é finalizada assim que aparece?

score 0 · Answer 1

We also have a x.509 certificate from our internet provider (mostly for our websites), signed by a trusted internet CA.

Desculpe, isso geralmente não é possível. Existem basic constraints no certificado X.509 e um deles diz se pode assinar outros certificados. Geralmente, as CAs não emitem esses certificados para não-CAs.

Este é um exemplo de um certificado autorizado a assinar outros certificados:

Esteéumexemplodeumcertificadonormal-nãoépermitidoassinaroutroscertificados:

Eu não me preocuparia com isso. Virtualmente todas CAs públicas possuem certificados raiz auto-assinados, então por que sua CA privada não deve ter uma raiz autoassinada?