Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Blog
    2. PKI

Hur utökar man certifikatregistreringen till en annan skog?

Postat avHemant Bhatt 03 minuter
Utöka certifikatregistreringen till en annan skog
Innehållsförteckning

Den här bloggen diskuterar registrering för Cross Forest-certifikat och de steg som krävs för att göra det.

Vad är registrering för Cross Forest-certifikat?

  • Företag kan bygga en central PKI i en Active Directory Domain Services (AD DS)-skog som utfärdar certifikat till domänmedlemmar i andra skogar genom att använda registrering mellan skogar.
  • Genom att kombinera certifikatmallar från många skogar till en enda PKI som stöder alla skogar kan företag med aktuella certifikat per skog AD CS-implementeringar kan minska antalet CA:er.
  • För att erbjuda registreringstjänster i alla skogar kan företag med inställningar för flera skogar men ingen PKI implementera AD CS i en enda skog.

Förutsättningar

  • Tvåvägs skogsförtroenden finns mellan konto- och resursskogar.
  • En eller flera företagscertifikatutfärdare som körs på Windows Server.

Publicera rot-CA-informationen till en annan skog.

  1. Logga in på en domänkontrollant i skogen som medlem i gruppen Företagsadministratörer.
  2. Sätt i USB-minnet som innehåller rot-CA:ns publicerade certifikat och CRL.
  3. Se till att du är i kommandotolken för administrativa användare.
  4. Skriv "certutil -f -dspublish" Root CA.crt i kommandotolken.
  5. Skriv PKIView.msc i kommandotolken och tryck på RETUR.
  6. Om meddelanderutan pkiview visas klickar du på OK för att acceptera felmeddelandet om du uppmanas att göra det.
  7. I konsolträdet högerklickar du på Enterprise PKI och sedan på Hantera AD-behållare.
  8. På fliken Certifieringsutfärdares behållare kontrollerar du att RootCAName visas.
  9. På fliken AIA-behållare kontrollerar du att RootCAName visas. Klicka på OK.

Publicera SubCA-information till ny skogskonfigurationspartition (registreringstjänster och mallar)

  1. Se till att New Forest har behörigheter/delegeringar konfigurerade på CN=Public Key Services, CN=Services, CN=Configuration, DC={forest root domain}
  2. Från befintliga skogar, ändra den schemalagda uppgiften för att uppdatera PKIsync.cmd till en ny skog (nedanför ytterligare rad som ska läggas till)
    .\PKISync.ps1 -sourceForest RESOURCE.LOCAL -targetforest account.LOCAL -typ Mall -cn ” <certifikatmall vanligt namn>. ” >> C:\Temp\CAScripts\PKSyncCorp.txt
  3. Kör den schemalagda uppgiften "PKI Cross Forest Replication"
  4. Logga in på målskogen, öppna ADSIEDIT.msc > Anslut till konfigurationspartitionen N=Public Key Services, CN=Services, CN=Configuration, DC={skogens rotdomän}
  5. Markera Registreringstjänster > Verifiera om det finns PKI-servrar där.
  6. Kontrollera certifikatmallar > Verifiera att kundens certifikatmallar finns där

Obs: Ovanstående cmd synkroniserar endast specifika mallar; du kan välja att synkronisera hela containrar.

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Publicera SubCA-informationen till en ny skog. 

  1. Öppna en administrativ kommandotolk.
  2. Skriv USB: i kommandotolken och tryck sedan på RETUR.
  3. Skriv CD \CACerts i kommandotolken och tryck på RETUR.
  4. Skriv certutil -dspublish -f i kommandotolken.enterprise-ca-cert-filnamn.cer> SubCA och tryck sedan på ENTER.
  5. Skriv certutil -dspublish -f i kommandotolken.enterprise-ca-cert-filnamn.cer> NTAUthCA och tryck sedan på ENTER.

Lägg till SubCA-information i gruppen Cert Publishers i New Forest. 

  1. Öppna Active Directory användare och datorer.
  2. Anslut till den domän som behövs
  3. I konsolträdet navigerar du till behållaren CN=Users.

Obs: Om gruppen inte finns i standardbehållaren söker du efter den inom domänen.

  • I informationsfönstret dubbelklickar du på Cert Publishers.
  • På fliken Allmänt kontrollerar du att gruppens omfattning är Domänlokal.
  • Lägg till PKI-servrar från skogen som medlemmar.

Tilldela behörigheter för skog till certifikatmallar

  1. Öppna Active Directory-certifikatutfärdaren.
  2. Hitta certifikatmallar > Högerklicka > Hantera
  3. Hitta certifikatmallarna och gå till deras egenskaper
  4. Tilldela användare/grupper/datorer
  5. På fliken Allmänt kontrollerar du att gruppens omfattning är Domänlokal.
  6. Lägg till PKI-servrar från skogen som medlemmar.

Tilldela behörigheter till certifikatutfärdare så att den nya skogen kan registrera certifikat

  1. Öppet Active Directory-certifikat auktoritet.
  2. Högerklicka på CA-namn > Välj egenskaper
  3. Navigera till Säkerhet > Lägg till grupper av New Forest, som behöver registreras.
Referenser: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/ff955842(v=ws.10)

Upptäck vår

Relaterade bloggar

PKI Windows Server

Referensguide för snabbkorrigeringar för Windows Server PKI och ADCS

Juni 3, 2026
Återuppbygga kryptografisk postur-PKI

Den tysta krisen inuti din PKI: Hur smarta säkerhetsteam återuppbygger kryptografisk hållning innan det är för sent

May 25, 2026

Förstå och optimera OCSP för Enterprise PKI

Förstå och optimera OCSP för Enterprise PKI

May 7, 2026

Utforska

Fler ämnen