Доверие PKI в Active Directory
Предполагая, что сертификат ЦС ADCS, присоединенный к данному домену, подписан автономным корневым ЦС, которому затем доверяют все системы в домене / лесу. Если этот автономный корень затем использовался для выдачи / подписания сертификата CA (без ограничений), и этот CA затем выдал сертификаты пользователя / компьютера / смарт-карты для ресурсов рассматриваемого домена, будет ли им доверять (т. Е. Будет ли сертификат, выпущенный таким образом работать для аутентификации в домене)?
Если все компьютеры в домене доверяют корневому ЦС, то по определению они будут доверять каждому подписанному им сертификату, включая сертификат нового подчиненного ЦС.
Однако, если новый суб-ЦС не интегрирован в AD, у некоторых компьютеров или приложений могут возникнуть проблемы с проверкой всей цепочки ЦС вплоть до корня; чтобы исправить это, вы можете развернуть сертификат суб-CA как Trusted Intermediate Certification Authority , используя GPO.