Meteen naar de inhoud

Certificaten met een geldigheidsduur van 47 dagen komen eraan. Ben je klaar?

Handel nu →

  1. Blogs
    2. PKI

Hoe kan ik de certificaatinschrijving uitbreiden naar een ander forest?

Posted byHemant Bhatt 03 Minuten
Certificaatinschrijving uitbreiden naar een ander forest
Inhoudsopgave

In deze blog worden de Cross Forest-certificaatinschrijving en de stappen die daarvoor nodig zijn besproken.

Wat is Cross Forest Certificate Enrollment?

  • Bedrijven kunnen een centrale PKI in één Active Directory Domain Services (AD DS)-forest bouwen en certificaten uitgeven aan domeinleden in andere forests door gebruik te maken van cross-forest enrollment.
  • Door certificaatsjablonen uit veel forests te combineren in één PKI die alle forests ondersteunt, kunnen bedrijven met de huidige per-forest AD CS-implementaties kan het aantal CA's verlagen.
  • Om inschrijvingsservices in alle forests aan te bieden, kunnen ondernemingen met multi-forestomgevingen maar zonder PKI AD CS in één forest implementeren.

Voorwaarden

  • Er bestaan ​​tweerichtingsvertrouwensrelaties tussen account- en resourcebossen.
  • Een of meer ondernemings-CA's die op Windows Server draaien.

Publiceer de root-CA-informatie naar een ander forest.

  1. Meld u aan bij een domeincontroller in het forest als lid van de groep Enterprise Admins.
  2. Plaats de USB-stick met het gepubliceerde certificaat en de CRL van de root-CA.
  3. Zorg ervoor dat u zich in de administratieve opdrachtprompt bevindt.
  4. Typ bij de opdrachtprompt “certutil -f -dspublish ” Root CA.crt” RootCA
  5. Typ PKIView.msc bij de opdrachtprompt en druk op ENTER.
  6. Als het pkiview-berichtvenster verschijnt, klikt u op OK om het foutbericht te accepteren als u daarom wordt gevraagd.
  7. Klik in de consolestructuur met de rechtermuisknop op Enterprise PKI en klik vervolgens op AD-containers beheren.
  8. Controleer of RootCAName wordt weergegeven op het tabblad Container certificeringsinstanties.
  9. Controleer op het tabblad AIA-container of RootCAName wordt weergegeven. Klik op OK.

SubCA-informatie publiceren naar nieuwe forestconfiguratiepartitie (inschrijvingsservices en sjablonen)

  1. Zorg ervoor dat het nieuwe forest machtigingen/delegaties heeft geconfigureerd op CN=Public Key Services, CN=Services, CN=Configuration, DC={forest root domain}
  2. Wijzig vanuit bestaande forests de geplande taak om PKIsync.cmd bij te werken naar een nieuw forest (hieronder moet een extra regel worden toegevoegd)
    .\PKISync.ps1 -sourceForest RESOURCE.LOCAL -targetforest account.LOCAL -type Template -cn ” <certificaat sjabloon algemene naam>. ” >> C:\Temp\CAScripts\PKSyncCorp.txt
  3. Voer de geplande taak "PKI Cross Forest Replication" uit
  4. Inloggen op doelforest open ADSIEDIT.msc > Verbinding maken met configuratiepartitie N=Public Key Services, CN=Services, CN=Configuration, DC={forest root domain}
  5. Controleer de inschrijvingsservices > Controleer of er PKI-servers aanwezig zijn.
  6. Controleer certificaatsjablonen > Controleer of de klantcertificaatsjablonen aanwezig zijn

Let op: Met de bovenstaande opdracht synchroniseert u alleen specifieke sjablonen. U kunt er ook voor kiezen om hele containers te synchroniseren.

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Publiceer de SubCA-informatie in een nieuw forest. 

  1. Open een administratieve opdrachtprompt.
  2. Typ USB: bij de opdrachtprompt en druk vervolgens op ENTER.
  3. Typ CD \CACerts bij de opdrachtprompt en druk op ENTER.
  4. Typ certutil -dspublish -f bij de opdrachtpromptenterprise-ca-cert-bestandsnaam.cer> SubCA en druk vervolgens op ENTER.
  5. Typ certutil -dspublish -f bij de opdrachtpromptenterprise-ca-cert-bestandsnaam.cer> NTAUthCA en druk vervolgens op ENTER.

Voeg SubCA-informatie toe aan de groep Cert Publishers in New Forest. 

  1. Open Active Directory: gebruikers en computers.
  2. Maak verbinding met het benodigde domein
  3. Navigeer in de consoleboom naar de container CN=Users.

Let op: Als de groep zich niet in de standaardcontainer bevindt, zoekt u er binnen het domein naar.

  • Dubbelklik in het detailvenster op Cert Publishers.
  • Zorg ervoor dat op het tabblad Algemeen het bereik van de groep Domeinlokaal is.
  • Voeg PKI-servers uit het forest toe als leden.

Toewijzen van Forest-machtigingen aan Certificaatsjablonen

  1. Open Active Directory-certificeringsinstantie.
  2. Zoek naar certificaatsjablonen > Klik met de rechtermuisknop > Beheren
  3. Zoek de certificaatsjablonen en ga naar hun eigenschappen
  4. Gebruikers/groepen/computers toewijzen
  5. Zorg ervoor dat op het tabblad Algemeen het bereik van de groep Domeinlokaal is.
  6. Voeg PKI-servers uit het forest toe als leden.

Toewijzen van machtigingen op CA zodat nieuwe forests certificaten kunnen registreren

  1. Open Active Directory-certificaat Gezag.
  2. Klik met de rechtermuisknop op CA-naam > Kies Eigenschappen
  3. Ga naar Beveiliging > Groepen van New Forest toevoegen, waarvoor registratie vereist is.
Referenties: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/ff955842(v=ws.10)

Ontdek onze

Gerelateerde blogs

Het herstellen van cryptografische postuur - PKI

De stille crisis binnen uw PKI: hoe slimme beveiligingsteams hun cryptografische beveiliging herstellen voordat het te laat is

May 25, 2026

Inzicht in en optimalisatie van OCSP voor Enterprise PKI

Inzicht in en optimalisatie van OCSP voor Enterprise PKI

May 7, 2026

Inzicht in Active Directory-certificaatservices

Inzicht in Active Directory-certificaatservicecontainers

27 april 2026

Ontdek het hier

Meer onderwerpen