Windows PKI с офлайновым корнем (возможно, с OpenSSL) - Возможный?
Можно использовать подверсию для управления любым типом файла - это работает отлично для изображений, по моему опыту.
Раздел с практическими рекомендациями FAQ мог бы быть хорошим местом, чтобы начать узнавать о том, как получить настроенный: https://subversion.apache.org/faq.html
Если Вы находите, что это не вполне удовлетворяет Ваши потребности, или Вы не хотите размещать свой собственный сервер управления версиями, Вы могли бы также хотеть посмотреть на мерзавца и GitHub или подвижный.
Microsoft указывает, что автономный компьютер корневого центра сертификации не должен быть членом домена , поэтому он не вызовет у вас никаких проблем, и устраняет всю проблему Проблемы с продолжительностью существования надгробной плиты AD спорные. То есть:
Настройте сервер под управлением Windows, который вы будете использовать в качестве корневого Центр сертификации. Сервер не должен входить ни в какие домен, должен быть отключен от сети и должен быть физически безопасен.
Я не предпринимал обширных тестов на совместимость с OpenSSL и Windows CA, но, в принципе, он должен работать нормально - это все основанные на стандартах PKI. Конечно, я подписывал сертификаты для серверов Windows с использованием OpenSSL много-много раз без каких-либо побочных эффектов. Если вам удобно использовать инструменты OpenSSL для выдачи сертификатов для центров сертификации второго уровня, это не вызовет у вас особых проблем с управлением.
Я не вижу особой пользы от развертывания корневого центра сертификации с использованием одного набора инструментов, а промежуточного (-ых) - другого. Вы, конечно, можете, но я не понимаю, как это вам что-то "дает".
Я пытаюсь настроить двухуровневую PKI, и у меня масса вопросов. Поскольку для AD существует предел надгробий, я предполагаю, что root (который будет отключен) не должен быть частью AD. Я правильно?
Верно. Ваш автономный корневой ЦС будет компьютером рабочей группы. Вы будете включать его только в целях обновления сертификатов выдающего CA и публикации CRL. Обычно вы будете распространять открытый ключ / сертификат корневого сервера среди всех клиентов посредством GPO.
Я рассматривал установку с одним корневым центром сертификации и несколькими промежуточными (для разных целей). Итак, корнем могут быть отдельные окна стандартный или Linux + OpenSSL (не знаю, если это возможно / желательно). Один из промежуточных центров сертификации должен быть частью AD (автоматическая регистрация и т. П.)
Я бы не стал пытаться смешивать и сочетать Windows и Linux в одной PKI. От этого нет никакой пользы, и вы просто усложняете управление PKI.