我想使用SCEP颁发客户端证书,可能使用ADCS。我们已经有一个内部离线根 CA(安全地存放在保险箱中,仅用于签署和撤销中间证书颁发机构),并且该根受到所有内部客户端和服务器的信任。
为了签署客户端证书,我想创建一个只能做到这一点的中间体:签署客户端证书。具体来说,我不希望使用这个中间件来签署服务器证书(原因是中间件必须在在线系统上,我想限制可能的损坏以防它被破坏)
这甚至可能吗?
certificate pki x509 certificate-authority ad-certificate-services