Как справиться, третье лицо выпустило сертификаты в среде Windows со Службами сертификации Active Directory
У меня есть подстановочный сертификат SSL (*.ourdomain.com) + цепочка доверия, которое было выпущено от общедоступного стороннего CA, который я развернул на всех наших серверах Windows в домене. Но наша среда переросла наш сценарий развертывания, и мне нужен лучший способ управлять и контролировать сертификаты в домене (список сертификатов на каждом сервере, когда сертификаты истекут, сертификаты установки на недавно развернутых серверах).
Мое начальное исследование указало на меня на Службы сертификации Active Directory (ADCS) как решение. Это кажется, что хорошо работало бы, действуя как его собственный CA, где сертификаты были сгенерированы на машине ADCS, но мне не ясно, как можно было бы использовать ADCS со сторонними сертификатами. Даже возможно или рекомендован?
Вы не используете службы сертификации Active Directory для управления сторонними сертификатами. AD CS не является системой отслеживания активов или инвентаризации. (В данном случае вашими «активами» является ваша коллекция SSL-сертификатов.)
С организационной точки зрения, я бы сказал, что вам нужна CMDB / система отслеживания активов с возможностью отслеживать SSL-сертификаты как CI (Configuration Items. .. извините, там немного говорят ITIL.)
Но насчет того, какой продукт вам следует использовать, я не могу сказать, так как рекомендации по продукту не соответствуют теме Serverfault.
Есть какая-то конкретная причина, по которой вы не используете GPO для развертывания сертификатов, если их нужно развернуть на уровне домена? Вы можете добавлять / удалять сертификаты в GPO, и GPO будет управлять их развертыванием / удалением.
Во-вторых, не зная точно, как вы перерастете сценарий, хорошо определенный сценарий должен легко работать для 1000 систем. Возможно, это способ выполнения сценария? Например, вы поручаете центральной системе выйти и опросить / развернуть сертификаты? Или ... все ваши клиенты запускают сценарий, который заставляет их загружать результаты в заданный каталог? Последний имеет гораздо лучшие возможности масштабирования, но может потребовать немного больше усилий для поглощения / приема данных. Вы можете довольно легко запустить сценарий клиентом (используйте GPP для создания запланированной задачи), который загружает результаты данного компьютера в общий файловый ресурс, а затем просматривает файлы данных и добавляет их в БД или даже в простой CSV .