我已经阅读了以下“关于构建脱机根和中间证书颁发机构 (CA) 的清单”的答案，并且我有一个基于我正在尝试构建的系统的问题
它是一个具有 3 个域/林的 Windows 2008 系统（即每个森林一个域）我希望在其中使用证书，并相信我应该能够使用单个自签名离线房间来这样做。

• ROOT - 是 CA = 自签名离线根
• DOM1IntRoot 是 Active Directory 域 DOM1.A.COM 的 CA
• DOM2IntRoot 是 Active Directory 域 DOM2.A.COM 的 CA
• DOM23IntRoot 是 Active Directory 域 DOM3.DOM2.A.COM 的 CA

没有信任，没有子域所以我想做的是用 ROOT 签署 DOM1IntRoot、DOM2IntRoot 和 DOM3IntRoot，这样我只需要一个离线根
，这意味着我需要将 ROOT CA 证书安装到每个域中 - 我认为来自Microsoft“Contoso 的示例方案” 意味着我需要将 LDAP AIA 位置设置为存在于所有域中的配置分区（在本例中为 DC=a,DC=com ），并将 HTTP 位置设置为某个单个服务器。然而，它也说他们可以有单独的 CRL/AIA 位置，这似乎是矛盾的

因此，我阅读了上面引用的答案，并说将 AIA/CRL 留空。这似乎意味着 DOM1IntRoot、DOM2IntRoot、DOM3IntRoot 将为根发布 CRL/AIA

所以我有两个可能的答案，要么 ROOTCA 有 CRL/AIA，要么没有。如果 ROOTCA 具有 AIA/CRL，那么我应该为 AIA 的 LDAP/HTTP 和 FILE URL 以及 CRL 位置具体指定什么，例如这是正确的吗？

ldap:///CN=ROOTCA<CRLNameSuffix>,CN=ROOTCA,CN=CDP,CN=Public Key Services,CN=Services,DC=A,DC=COM
http://<SOMESERVER>/CertEnroll/ROOTCA<CRLNameSuffix><DeltaCRLAllowed>.crl
file://\\<SOMESERVER>\CertEnroll\ROOTCA<CRLNameSuffix><DeltaCRLAllowed>.crl

带有 IIS 的服务器在哪里<SOMESERVER>可以使证书可用

请注意，我没有使用从未见过的离线根服务器名称 - 对吗？

如果 ROOTCA 没有 AIA/CRL，那么我如何发布（比如）DOM1IntRoot 的撤销？

我有点困惑，所以这个问题可能是从完全错误的假设开始的

我将添加一些关于域结构的信息以尝试解决一些问题 - DOM1.A.COM 是客户端设置的位置 - DOM2.A.COM 是保护 DOM3 的 DMZ 类型网络 - DOM3.DOM2.A.COM仅被访问，但来自 DOM1 的用户远程登录到 DOM2，然后在 DOM3 中进行另一个远程会话 - 我们希望在 DOM1 和 DOM2 以及 DOM2 和 DOM3 之间使用证书 - 我们还将使用来自 DOM2 的证书到网络设备（它可能应该是 DOM3，但仍在讨论中）- DOM2 和 DOM3 与互联网隔离。DOM3 与除 DOM2 之外的所有事物都隔离开来