none
Можно ли получить сертификат через CEP/CES с односторонним доверием? RRS feed

  • Вопрос

  • Приветствую!

    Есть административный домен с учетными записями(adm) и ресурсный(res) с разными сервисами. Ресурсный домен доверяет административному, т.е. пользователи административного домена могут проходить аутентификацию в ресурсном домене. Доверие одностороннее, у административного домена нет доверия ни к кому.

    В ресурсном лесу, в том числе, есть развернутая PKI, включая CEP/CES для пароля и CEP/CES для сертификата. Сейчас довел настройку до того момента, когда пользователи adm леса успешно авторизуются на CEP в res лесу по логину и паролю, видят список шаблонов, на которые выданы разрешения, но получают ошибку при попытке получить сертификат. Все разрешенные шаблоны настроены на получение информации из запроса, без обращения к AD. При работе от уз из домена res - сертификаты получаются успешно.

    Разрешения на шаблоны предоставляется через членство в группе домена res. В группу включены уз из adm и res.

    Можно-ли настроить получение сертификатов через CEP/CES для внешних УЗ без настройки двухстороннего доверия?



    • Изменено miasik 21 августа 2019 г. 19:45
    21 августа 2019 г. 19:35

Все ответы

  • Привет,

    На сколько мне известно, должно быть двустороннее доверие:

    Cross Forest Certificate Authority

    Eventually, there are two supported solutions:

    1. like Microsoft said, you have to deploy a separate CA in the each acquired AD forest. In this case, each CA there is a separate authority and can issue certificates only to respective forest clients.

    2. by having Windows Server 2008 R2 (or newer) as a CA in the parent forest, you can establish a cross-forest certificate enrollment: AD CS: Deploying Cross-forest Certificate Enrollment. This requires a two-way trust between forests. This will allow to use CA server that is located in the parent forest to deploy certificates to all trusted forest clients.

    either option requires some administrative efforts. But if you are going to migrate acquired forests to parent forest, or manage them centrally, I would go with option 2. Otherwise, if each forest will have their dedicated IT personell, option 1 would be more suitable.

    Also, I would like to recall that there are Enrollment Web Services, that simplify certificate enrollment process across forests. You even don't need to perform AD PKI object synchronization, because clients will use CEP/CES servers for enrollment purposes.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    22 августа 2019 г. 7:36
    Владелец
  • У меня нет необходимости выдавать автоматические сертификаты с запросом данных из АД.

    Мне надо дать права пользователям из других доменов использовать шаблоны с ручным занесением данных.


    • Изменено miasik 22 августа 2019 г. 7:56
    22 августа 2019 г. 7:55