Hallo zusammen,
Ich experimentiere gerade mit der Microsoft PKI herum. Bisher hatte ich nur mit Verisign zu tun.
Ich habe mir eine RootCA und 3 Sub-IssuingCAs (alle ADintegrated) als Test aufgebaut. Das klappt soweit erstaunlich reibungslos und von einem Win7-Client kann ich mir beispielsweise über die Certificate-MMC ein UserZertifikat beantragen und bekomme das auch nach Genehmigung an den Client zugestellt.
Mein Problem / Frage ist, wie ich steuern kann, an welche Issuing-CA der Request gesendet und bearbeitet wird. Momentan geschieht das in meiner Testumgebung eher zufällig an eine der 3 Issuings. (DNS / GPOs ??)
Später will ich jeweils eine Issuing CA in Europa / USA und Asien laufen lassen und die europäischen Clients sollen sich dann natürlich an die Europäische Issuing CA wenden. (Dann allerdings für Maschinenzertifikate im Autoenrollment.)
Danke
Hans