Последствия корня CA без CRL
Я искал ответ в течение очень долгого времени и наконец нашел то, которое звучит верным для меня.
-DNSHostName должен быть FQDN того DC, который удерживает Главную клавишу KDS - msKds-ProvRootKey.
Наиболее вероятный Вы уже создали тот один - смотрят на контейнер Службы распределения Ключа Группы в разделе Конфигурации Вашего AD леса.
И вероятно Вы могли использовать любой DC в том лесу, пока Вы определяете их имена в-PrincipalsAllowedToRetrieveManagedPassword
, Все вышеупомянутое представляет "новый" gMSA, поэтому если Вы хотите использовать старый MSA вместо этого, просто забываете об этом-DNSHostName, так как это не требуется затем, и просто используйте-RestrictToSingleComputer блокировка учетной записи к некоторому серверу.
Hope, которая помогает.
If you're willing to scrap the root CA completely the event that it's used to issue a bad certificate, or an issued certificate is compromised, then it should be no problem.
If the certificate doesn't specify CRL distribution points, then (as far as I'm aware) browsers and other certificate validators should have no qualms about validating the certificate.
Even if an unreachable CDP is specified, browsers are very.. lax about allowing the certificate anyway - this is why the recent certificate authority compromises have prompted OS and browser vendors to issue patches blacklisting the certificates, instead of just trusting browsers to check the CRL properly.