LDAP nu este o condiție prealabilă pentru ADCS. Dacă compania dvs. folosește ADDS, atunci aveți opțiunea de a implementa un CA Enterprise pentru a simplifica emiterea și implementarea certificatelor către utilizatori și computere.
Dacă nu aveți un domeniu AD, atunci instalați CA autonome.
De aceea abordarea ta nu are sens. Nu veți instala ADDS pe server2 doar pentru a rula un CA intermediar.
Există multe modalități de a configura o infrastructură PKI și se pare că ar trebui să citiți acest subiect, pentru a înțelege puțin cum să vă îndepliniți nevoia. Vă sugerez să începeți cu acest ghid: https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/designing-and-implementing-a-pki-part-i-design-and-planning/ba-p/396953
Dar pentru a-ți răspunde la întrebare: Conectați serverul 2 la același domeniu AD ca și serverul 1 și instalați un CA subordonată întreprindere. Dacă intenționați să aveți Root CA online (ceea ce presupun), atunci ar trebui să fie un Enterprise Root CA.
Cu toate acestea, dacă intenționați să implementați o PKI cu mai multe niveluri, CA dvs. rădăcină ar trebui să fie autonomă și offline. De asemenea, nu ar trebui să instalați niciodată un CA pe controlerul dvs. de domeniu. Și locațiile dvs. CDP și AIA ar trebui să fie doar pe un server HTTP, opțional, implementând și un server OCSP suplimentar.
În întreprinderile mici, unde certificatul este necesar doar intern, puteți scăpa cu instalarea unui singur CA rădăcină Enterprise și, de asemenea, să utilizați LDAP ca locații CDP și AIA.
Vă sugerez cu tărie să citiți articolul, dacă intenționați să vă puneți PKI în producție.
