nekto
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Хотелось бы соорудить структуру, похожую на описанную в статье M$, а именно: в самом верху иерархии Stand-alone offline root CA (self-signed), ниже Enterprise Root CA, находящийся в корневом домене xxx.local, и в самом низу, в каждом дочернем домене по Subordinate Enterprise CA, которые собственно и раздают сертификаты юзерам и их компам и проверяют их легитимность. Немогу разобраться в том как сделать чтобы CRL и AIA для каждого домена были на соответствующем Subordinate Enterprise CA, чтобы юзеры не ходили проверять сертификаты на Enterprise Root CA (и уж тем более на Stand-alone offline root CA). Это необходимо поскольку домены находятся географически довольно далеко друг от друга, и бывают обрывы связи, да и скорость конечно не та чтобы ограничиться одним CA. |