कठपुतली के साथ एक वैकल्पिक सीए (जैसे Microsoft प्रमाणपत्र सेवा) का उपयोग करना

मैं जांच कर रहा हूं कि क्या मैं किसी तरह कठपुतली पारिस्थितिकी तंत्र को अपने स्वयं के सीए होने के बजाय हमारे मौजूदा माइक्रोसॉफ्ट एंटरप्राइज सीए का उपयोग कर सकता हूं।

चूंकि कठपुतली का कहना है कि सभी सिस्टम "मानक एसएसएल" है, इसलिए मेरा अनुमान है कि कठपुतली को बदलने के बिना ऐसा करना पूरी तरह से संभव है, लेकिन जब तक कठपुतली उद्यम को उचित कॉल करने के लिए संपादित नहीं किया जाता है तब तक यह एक विशाल मैनुअल सिरदर्द होने की संभावना है। सीए।

क्या किसी ने इससे पहले इसकी कोशिश करके देखी है। क्या यह "यहां ड्रेगन हो सकता है, दूर हो जाओ!" परिस्थिति?

कठपुतली में प्रमाणपत्र सत्यापन और पदानुक्रम व्यवहार वास्तव में मानक एसएसएल है, लेकिन यह मानकों के आंशिक कार्यान्वयन की तरह है - अधिक जटिल तैनाती के लिए अपने समर्थन को बेहतर बनाने के लिए एक लंबे समय से स्थायी सुविधा अनुरोध है ।

यदि लक्ष्य प्रमाणपत्र जारी करने और अनुमोदन के लिए AD प्रमाणपत्र सेवा प्रणाली में स्थानांतरित हो गया है (और puppet cert signफिर कभी टाइप नहीं ), तो आप शायद कुछ सॉफ्टवेयर विकास कार्य के बिना भाग्य से बाहर हैं।

ग्राहक प्रमाणपत्र अनुरोधों, हस्ताक्षरित प्रमाणपत्रों, AIA और CRL पहुंच, आदि को संभालने के लिए कठपुतली के अपने REST API का उपयोग करता है; आपको उन API कॉल और AD प्रमाणपत्र सेवा RPC पहुँच बिंदुओं के बीच गोंद लागू करने की आवश्यकता होगी।

लेकिन, अगर आप अपने ई-सीएस रूट के तहत ट्रस्ट चेन में होने के लिए सिर्फ अपने कठपुतली प्रमाण पत्र की तलाश कर रहे हैं, तो sysadmin1138 की सिफारिश को महान काम करना चाहिए (हालांकि मैंने इसे या तो परीक्षण नहीं किया है - मुझे ऐसा करने और अपडेट करने के लिए कुछ समय मिलेगा। आप)।

कठपुतली ग्राहक मध्यवर्ती कठपुतली सीए का इलाज करेंगे जैसे कि यह एक जड़ सीए था (जो जड़ के ज्ञान की आवश्यकता के बिना काम करने की मान्यता देगा), जबकि अभी भी वास्तविक जड़ सीए के वैध वंशज हैं।