子域的父域证书颁发机构

Question

我有一个父域和该父域的两个子域。所有服务器都是Windows 2019。我正在部署安全软件，我需要从证书颁发机构获得一个有效的证书。证书颁发机构位于父域上的服务器上。

当我要在子域计算机上获得计算机证书时，计算机将不显示模板或位置来从中提取证书。我能够从父域中的计算机上从CA中提取证书，而不会出现问题。

是否有办法通过从父CA中提取子域计算机的计算机证书？

Answer 1

如何做到这一点有几个选项，而且所有这些选项都与组成员相关。最简单的选择是将“域计算机”组从子域添加到证书模板权限，并授予所需的权限(读取、注册和(可能的话)自动注册)。

然而，我会使用更多面向AGLP的方法：

• 在林根域中，创建一个名为“企业域计算机”的通用安全组。
• 将“域计算机”和“域控制器”组从所有根域和子域添加到这个新的“企业域计算机”通用组中

然后，在证书模板控制台(certtmpl.msc)中，选择所需模板的属性，导航到Security，并为这个新的通用组分配权限。

这可能需要一段时间，直到所有发展中国家复制组和成员更新。此外，必须重新启动计算机才能选择新的组成员，或等待多达10个小时才更新kerberos票证。