Nossa rede é composta principalmente de servidores Windows em nosso domínio interno que é gerenciado pelo Active Directory (natch). Também temos uma pequena população de servidores Linux que, por motivos, são gerenciados pelo IDM. Também por motivos, o IDM é configurado com uma relação de confiança unidirecional para o AD (o IDM confia no AD) para facilitar o gerenciamento de usuários em um único local (isso não pode ser alterado).
No momento temos três domínios (nomes alterados para proteger os inocentes):
- interno.dom
- windows.internal.dom
- linux.internal.dom
linux.internal.dom é mantido no servidor IDM e os outros dois estão no AD. Como a confiança entre o IDM e o AD é unidirecional, ela não é visível na interface do usuário do AD. Os outros, é claro, são visíveis no AD, pois é onde são mantidos.
Estamos configurando os Serviços de Certificados do AD para que possamos emitir certificados para cada domínio. No entanto, como o linux.internal.dom está no IDM, que possui apenas a confiança unidirecional e, portanto, não aparece no AD, não é possível criar certificados para ele na interface do usuário. Em última análise, não usaremos a interface do usuário de qualquer maneira, pois um método automatizado/com script será mais eficiente.
Então, agora minha pergunta: É possível que um AD CA emita um certificado para um (sub)domínio que não seja totalmente confiável? Ou seja, poderemos emitir certificados para linux.internal.dom mesmo que não apareça na interface do usuário do AD?
Você controla a CA; portanto, você pode emitir certificados para qualquer nome que desejar. Você pode emitir um certificado para linux.bobsyouruncle.com se desejar. Qualquer cliente que confie nessa CA deve confiar em certificados emitidos por ela ou por suas CAs subordinadas.
De qualquer forma, a confiança do Active Directory e sua direcionalidade são necessariamente dissociadas da cadeia de confiança da Autoridade de Certificação.
Um ótimo exemplo desse processo seria a inspeção de SSL por um firewall realizando análise de tráfego - um caso de uso indiscutivelmente legítimo do Man-in-the-Middle. Para cada solicitação a um site criptografado, o firewall em questão (geralmente por meio de um proxy transparente) gera um certificado confiável (mas tecnicamente falso) para o FQDN do recurso externo em questão.