1 ICA și CRL care deservesc 2 domenii diferite

Un CA generic va emite oricărui domeniu, atâta timp cât nu aveți constrângeri de nume. Cu toate acestea, bănuiesc că, deoarece acesta este MS Windows, vă întrebați dacă un singur CA se poate _înrola automat_ la două domenii AD fără a configura o încredere. Trebuie să vă clarificați întrebarea sau ar putea ajunge să fie închisă, din păcate.

După cum a afirmat @garethTheRed, dacă sunteți în căutarea acelorași **conveniente native** pe care le obțineți într-un domeniu/pădure fără încredere, probabil că nu. Acestea fiind spuse, nimic nu împiedică o organizație să personalizeze acest lucru pentru entitățile externe și nu este neobișnuit. Guvernul SUA are probabil cea mai mare infrastructură PKI și destul de complexă/elaborată. Unele agenții folosesc PKI-ul altor agenții datorită costurilor și economiilor de scară. De obicei, nu există încredere între agenții sau o conexiune limitată de tip IPSEC la punctele etanșe.

Multumesc pentru raspuns. Înțelegeți că nu ar trebui să existe nicio constrângere cu semnarea pentru ambele domenii. Cu toate acestea, mi s-a spus că gazda din celălalt domeniu nu va putea contacta CRL pentru a verifica lista de revocare. Este corect?

Recomandarea a fost să utilizați LDAP pentru găzduirea CRL-ului dvs., caz în care ar fi dificil (deși nu imposibil) să permiteți accesul numai în citire la AD-ul celuilalt domeniu. Cu toate acestea, recomandarea actuală este să utilizați HTTP în loc de LDAP, caz în care orice parte de încredere îl poate accesa atâta timp cât FQDN-ul gazdei se rezolvă în ambele domenii.

întrebarea această in alte limbi: