none
CA证书服务问题 RRS feed

  • 问题

  • 1.独立根CA和从属CA如何判定他们所颁发的证书都是有效的
    2.独立根CA和从属CA同时在线,他们颁发证书默认是随机的,是否可以创建策略指定那些用户或者主机由指定的CA来颁发
    3.独立根CA是否有备份机制,可以在根CA出现问题重新搭建一台来恢复?
    4.从属CA的服务器上通过IP、FQDN、127.0.0.1访问自己的Web下载证书,需要添加信任,否则提示证书服务未启动。而独立根CA不需要添加信任,是什么原因从属CA需要添加信任才允许自身通过IP、fqdn、127.0.0.1的方式访问证书下载页面服务?

    2017年12月5日 2:18

全部回复

  • 您好,
    1. 您可以用CertSrv.msc 去检查CA上的服务和颁发的证书状态,用PKIView.msc来检查CA是否正常的发布CRT/CRL文件以及他们是否有效。您可以参考下面的链接来实施操作:
    PKI - ADCS: Health Check - part 1(仅英文版)
    http://davidmtechblog.blogspot.sg/2016/12/pki-adcs-health-check-part-1.html
    请注意, 这个链接不是来自微软官方,它的信息可能会改变,微软不保证它信息的精确性。
    2. 据我所知,客户端会通过查看注册服务来决定哪台CA有需要的证书模板发布,从而来从相应的那台CA拿到证书。如果有多台CA上发布了客户端需要的证书模板,那么第一台响应RPC ping的CA会被选择来发布证书给客户端。 
    所以如果您想要指定相应的CA,那么您可以把多个CA设置成不同的角色担当,例如验证CA,加密CA等等,并且除了相应的CA,在其他CA上不要发布客户端所需的证书模板。另外,如果您是AD域环境并且有多个站点, 那么您可以把不同的CA放在不同的站点,通过设置不同的站点cost来控制相应站点的CA会优先回复RPC ping,从而那个站点的客户端会优先从本站点拿证书。
    3. 您可以通过系统状态全备份或者用Certutil命令来对CA进行备份,具体请看:
    Disaster Recovery Procedures for Active Directory Certificate Services (ADCS)(仅英文版)
    https://blogs.technet.microsoft.com/pki/2010/04/20/disaster-recovery-procedures-for-active-directory-certificate-services-adcs/
    4. PKI支持一种按等级划分的CA信任模式,叫做证书结构。在一个环境里可以拥有多个CA来满足需要,而在这多个CA的结构里,根CA是唯一一个使用自签证书来实现自我验证的主体。在多个CA的PKI体系中,根CA是最被信任的,同时也是建议对根CA设置最高安全等级的。根CA下面的子CA/下级CA由它上层对应的母CA签发证书来验证。
    Certification Authority Trust Model(仅英文版)
    https://technet.microsoft.com/zh-cn/library/cc962065.aspx
    谢谢
    Wendy

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年12月5日 6:58
    版主
  • 您好,

    我们正在跟踪您所遇到问题的进展,如果您还有任何的问题,请随时联系我们。

    如果上述回复对您有所帮助,您可以标记它们为答复,或者您可以把您自己解决问题的方法分享给我们,这对于有相同问题的其他人将会提供很大的帮助。

    感谢您的理解与支持。

    谢谢

    Wendy


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年12月8日 7:29
    版主