我们的网络主要由我们内部域上的 Windows 服务器组成,由 Active Directory (natch) 管理。我们还有少量的 Linux 服务器,出于某种原因,它们由 IDM 管理。同样出于某些原因,IDM 设置了对 AD 的单向信任(IDM 信任 AD),以方便在单个位置进行用户管理(这无法更改)。
目前我们有三个域名(更改名称以保护无辜者):
- 内部.dom
- windows.internal.dom
- linux.internal.dom
linux.internal.dom 在 IDM 服务器上维护,另外两个在 AD 上。由于 IDM 和 AD 之间的信任是单向的,因此在 AD UI 中是不可见的。其他的,当然在 AD 中是可见的,因为那是它们被维护的地方。
我们正在设置 AD 证书服务,以便我们可以为每个域颁发证书。但是,由于 linux.internal.dom 位于仅具有单向信任的 IDM 上,因此不会出现在 AD 中,因此无法在 UI 中为其创建证书。最终,我们无论如何都不会使用 UI,因为自动化/脚本化方法会更有效。
所以,现在我的问题是:AD CA 是否可以为不完全受信任的(子)域颁发证书?也就是说,我们能否为 linux.internal.dom 颁发证书,即使它没有出现在 AD UI 中?
您控制 CA;因此,您可以为您想要的任何名称颁发证书。如果您愿意,可以为 linux.bobsyouruncle.com 颁发证书。任何信任此 CA 的客户端都应该相应地信任从它或其从属 CA 颁发的证书。
在任何情况下,Active Directory 信任及其方向性都必须与证书颁发机构的信任链分离。
这个过程的一个很好的例子是防火墙执行流量分析的 SSL 检查 - 可以说是中间人的合法用例。对于加密网站的每个请求,相关防火墙(通常通过透明代理)为相关外部资源的 FQDN 生成可信(但在技术上是虚假的)证书。