在现有环境中添加OCSP和NDES？什么可以一起安装？

Question

当前有一个离线CA和一个子颁发CA，该CA刚刚安装了Web注册。同时考虑实现NDES和OCSP。

我知道web注册可以安装在我拥有的发行CA上，但是在可以一起安装什么的情况下，处理这个实现的最好方法是什么……

我是否应该将Web注册移除并在一台服务器上安装NDES，并在专用服务器上安装OCSP？

我是否应该继续在网上注册手工证书，并为NDES和OCSP提供两台服务器，还是OCSP始终是独立的？

CA- srv1，与注册srv2一起发行，NDES/OCSP- srv3 CA- srv1，发布- srv2，Web注册/NDES- srv3，OCSP- srv4 CA- srv1，颁发- srv2，Web /NDES/OCSP- srv3等

我想弄明白的意思吗？很难找到任何能显示哪些角色可以一起安装，哪些角色应该始终与最佳实践相分离的东西。

Answer 1

这可能是另一个话题，因为这是一个容量规划问题，但是您如何设置这个问题很大程度上取决于它的使用程度。由于您只计划有一个单一的发行CA，它可能不会被大量使用，我希望。如果你愿意的话，你可以在一台机器上设置所有的东西，这样就可以回答你的问题。但你真的想要吗？这是个不同的问题。为什么要在一台服务器上设置所有内容？例如，Online Responder特别适用于无法到达CA ( CRL分发点所在的地方)的设备，以检查证书的吊销.所以把它放在同一台服务器上是没有意义的。或者，如果您有一个庞大的网络，并且希望分发CRL检查的负载，但是由于您只有一个颁发CA，这是值得怀疑的。