Windows :切换具有提供者证书的自签名根证书

Question

在我们的Windows域(2008R2和2012R2服务器)中，我们运行的是域CA。根证书是自签名证书.

我们也有一个x.509证书，从我们的互联网供应商(主要是为我们的网站)，签署了一个可信的互联网CA。

我要做的是从Windows CA中删除自签名根证书，并将其替换为我们提供程序的证书。

有两个问题:一、这是否可能？我是否可以使用来自可信CA的证书作为我自己CA的根证书? 2.在不重新构建整个域的情况下，这是可能的吗？我认为域控制者需要证书来进行LDAP通信，如果我只是切换他们用来创建自己证书的根证书，会发生什么呢？

谢谢你的帮忙!

Answer 1

我们也有一个x.509证书，从我们的互联网供应商(主要是为我们的网站)，签署了一个可信的互联网CA。

对不起，这通常是不可能的。X.509证书中有basic constraints，其中一个表示它是否可以签署其他证书。通常，CA不向非CA颁发此类证书。

这是允许签署其他证书的证书示例：

这是一个普通证书的例子--它不允许签署其他证书：

我不会担心的。几乎所有的公共CA都有自签名的根证书，那么为什么您的私有CA不应该有一个自签名的根呢？