Обзор ролей центров сертификации в AD CS

AD CS для Windows Server 2008 R2 можно установить в виде центра сертификации одно­го из перечисленных ниже типов.

• Головной центр сертификации предприятия. Головной СА предприятия является > наиболее доверяемым СА в организации и должен быть установлен раньше всех ос­тальных СА. Все остальные СА являются подчиненными по отношению к головному СА предприятия. Защите этого СА следует уделить самое пристальное внимание, т.к. компрометация СА предприятия означает компрометацию всей цепочки центров сертификации.
• Подчиненный центр сертификации предприятия. Подчиненный СА предприятия должен получить сертификат от головного СА предприятия, но после этого может выдавать сертификаты всем пользователям и компьютерам предприятия. Часто СА этого типа используются для снятия части нагрузки с головного СА предприятия.
• Самостоятельный головной центр сертификации. Самостоятельный голов­ной СА служит вершиной иерархии, не связанной с информацией домена пред­приятия. В специальных случаях можно создать несколько самостоятельных СА. Самостоятельный головной СА часто используется в качестве корневого для других подчиненных СА предприятия — для повышения безопасности среды. То есть голов­ной центр конфигурируется как самостоятельный, а подчиненные СА, интегриро­ванные в домен предприятия, установлены в доменах леса, чтобы обеспечить авто­матическое развертывание в масштабе предприятия.
• Самостоятельный подчиненный центр сертификации. Самостоятельные подчи­ненные СА получают свои сертификаты от самостоятельного головного СА, и затем могут использоваться для распространения сертификатов пользователям и компью­терам, связанным с этим самостоятельным СА.