您好,
1.
您可以用CertSrv.msc 去检查CA上的服务和颁发的证书状态,用PKIView.msc来检查CA是否正常的发布CRT/CRL文件以及他们是否有效。您可以参考下面的链接来实施操作:
PKI - ADCS: Health Check - part 1(仅英文版)
http://davidmtechblog.blogspot.sg/2016/12/pki-adcs-health-check-part-1.html
请注意, 这个链接不是来自微软官方,它的信息可能会改变,微软不保证它信息的精确性。
2.
据我所知,客户端会通过查看注册服务来决定哪台CA有需要的证书模板发布,从而来从相应的那台CA拿到证书。如果有多台CA上发布了客户端需要的证书模板,那么第一台响应RPC ping的CA会被选择来发布证书给客户端。
所以如果您想要指定相应的CA,那么您可以把多个CA设置成不同的角色担当,例如验证CA,加密CA等等,并且除了相应的CA,在其他CA上不要发布客户端所需的证书模板。另外,如果您是AD域环境并且有多个站点, 那么您可以把不同的CA放在不同的站点,通过设置不同的站点cost来控制相应站点的CA会优先回复RPC ping,从而那个站点的客户端会优先从本站点拿证书。
3.
您可以通过系统状态全备份或者用Certutil命令来对CA进行备份,具体请看:
Disaster Recovery Procedures for Active Directory Certificate Services (ADCS)(仅英文版)
https://blogs.technet.microsoft.com/pki/2010/04/20/disaster-recovery-procedures-for-active-directory-certificate-services-adcs/
4.
PKI支持一种按等级划分的CA信任模式,叫做证书结构。在一个环境里可以拥有多个CA来满足需要,而在这多个CA的结构里,根CA是唯一一个使用自签证书来实现自我验证的主体。在多个CA的PKI体系中,根CA是最被信任的,同时也是建议对根CA设置最高安全等级的。根CA下面的子CA/下级CA由它上层对应的母CA签发证书来验证。
Certification Authority Trust Model(仅英文版)
https://technet.microsoft.com/zh-cn/library/cc962065.aspx
谢谢
Wendy
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.
