1 ICA и CRL, обслуживающие 2 разных домена

tosei

16.09.2023, 20:19

У меня есть 1 ICA и 1 CRL, и я хотел бы, чтобы он обслуживал 2 разных домена в моей настройке. Это возможно? Я использую Windows Server 2019. Обратите внимание: я не могу установить доверительные отношения между двумя доменами.

Мне сказали, что хост в другом домене не сможет связаться со списком отзыва сертификатов, чтобы проверить список отзыва. Это правильно?

0 + 0

брандмауэр

пки

Windows-сервер-2019

garethTheRed

16.09.2023, 20:37

Общий ЦС будет выдавать любой домен, если у вас нет ограничений на имя. Однако я подозреваю, что, поскольку это MS Windows, вы спрашиваете, может ли один ЦС _автоматически зарегистрировать_ два домена AD без установления доверия. Вам необходимо уточнить свой вопрос, иначе, к сожалению, он может быть закрыт.

Ответить

Greg Askew

16.09.2023, 22:03

Как заявил @garethTheRed, если вы ищете те же ** собственные удобства **, которые вы получаете в домене / лесу без доверия, вероятно, нет. Тем не менее, ничто не мешает организации настроить это для внешних объектов, и это не редкость. Правительство США имеет, вероятно, самую большую инфраструктуру PKI и довольно сложную/сложную. Некоторые агентства используют PKI других агентств из-за затрат и эффекта масштаба. Обычно между агентствами нет доверия или существует ограниченное соединение типа IPSEC в точках переборки.

Ответить

tosei

17.09.2023, 03:32

Спасибо за ответ. Поймите, что не должно быть никаких ограничений при подписи для обоих доменов. Однако мне сказали, что хост в другом домене не сможет связаться со списком отзыва сертификатов, чтобы проверить список отзыва. Это правильно?

Ответить

garethTheRed

17.09.2023, 06:00

Рекомендация заключалась в том, чтобы использовать LDAP для размещения вашего CRL, и в этом случае было бы сложно (хотя и не невозможно) разрешить доступ только для чтения к AD другого домена. Однако в настоящее время рекомендуется использовать HTTP вместо LDAP, и в этом случае любая проверяющая сторона может получить к нему доступ, если полное доменное имя узла разрешается в обоих доменах.

Ответить

Admin

Этот вопрос на других языках:

EN: 1 ICA and CRL serving 2 different domain

TH: 1 ICA และ CRL ให้บริการ 2 โดเมนที่แตกต่างกัน

RO: 1 ICA și CRL care deservesc 2 domenii diferite

RU: 1 ICA и CRL, обслуживающие 2 разных домена

VI: 1 ICA and CRL serving 2 different domain

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.