ewa*_*all 7 windows active-directory certificate-authority ad-certificate-services
我正在考虑安装一个新的 AD 集成企业证书颁发机构结构,但发现有人已经创建了一个 CA(主要用于内部网站上的 SSL)。
我想根据最佳实践来构建新结构,方法是创建一个离线根、授权多个从属 CA 进行容错等,但我不想弄乱已经存在的东西。显然,您不能将现有的根 CA 变成从属 CA,因此排除了这种可能性。
我可以简单地在别处安装新的根目录,而不是触及现有的根目录吗?(或者也许用新根的权限对现有 CA 进行交叉签名?)
处理过相同的场景后,以下是我采用的方法的概述:
启动并运行新环境,但不要赋予它任何颁发证书的能力 -LoadDefaultTemplates=False在您的 capolicy.inf 中使用。
虽然设备仍设置为不发布任何模板,但让所有内容与新环境、AIA 位置、CRL 分发等保持一致。使用企业 PKI 管理单元检查所有内容的运行状况。
然后,当您准备好时,更改现有 CA 的配置以停止为某些模板颁发证书。您还没有杀死服务器,只是告诉它停止颁发新证书。将这些相同的模板添加到新环境的允许发布策略中。
然后,使用模板管理工具上的“重新注册证书持有者”选项,用于具有证书并自动注册的模板(用户、计算机和域控制器证书)。这将提高模板版本并导致他们在自动注册脉冲时从新基础架构中获取新证书。
这将涵盖您的这些证书,但对于 Web 服务器证书,不幸的是,这将是一个手动过程。为每个重新颁发,并将侦听器更改为新证书。
一旦您相当有信心重新颁发了所有证书,就可以削弱旧 CA,但不要删除该角色。执行一些操作,删除 CA 配置中的所有 AIA 或 CRL 分发点,然后从这些位置删除文件/对象(LDAP 可能是主要的,但 http 和 smb 也需要检查)。等待几个星期的问题;当出现问题时,您可以重新添加已删除的 AIA/CRL 点,并certutil -dspublish在需要时重新发布 ( )。
一旦您对不再使用旧 CA 感到满意,请删除该角色,然后清理 Active Directory。AIA、CRL 和增量 CRL 需要手动删除,您可以在企业 PKI 管理单元的“管理 AD 容器”选项中执行此操作。
| 归档时间: |
|
| 查看次数: |
31849 次 |
| 最近记录: |