在 Windows Server 2012 上创建和使用中间证书颁发机构？

Question

背景：服务器操作系统是 Windows Server 2012。随着我们使用 powershell 加快速度，安装了 GUI。设置是登台，而不是生产（还）。

我们已经安装了我们的（内部的、域受限的）根 CA。我想将根 CA 脱机以保护存储，但在此之前我想设置一个中间 CA，它可以接管实际的实时在线 (int-RA-net) 功能

我怎样才能做到以上几点？我假设一个完整的答案将涵盖

• 创建中间 CA 证书请求
• 在域控制器上安装中间 CA 证书（现在已经在线安装了 Root CA 的证书颁发机构角色）
• 使用中间CA生成证书（任意使用证书，仅供演示）

显然，这个认证链在我们域外的计算机上是无效的（自信任根 - 我们的根证书不是来自普通的 3rd 方）。最后一点不是问题。

Answer 1

我最近经历了从企业在线根 CA 迁移到两层 PKI 的过程。通常，您要遵循的过程将包含以下步骤：

1. 配置不会加入您的域的服务器并安装 Active Directory 证书服务。将其配置为独立的脱机根证书。
2. 将您的根 CA 发布到林。
3. 在线配置第二台服务器并加入域。将其配置为您的中间证书颁发机构。
4. 从中间 CA 创建 CSR，并完成从离线根 CA 颁发证书的过程。
5. 将证书模板迁移到新的中间 CA 并从原始 PKI 中删除模板。（这只会开始从您的中间 CA 颁发新证书，而不会使从您的原始 CA 颁发的证书失效。）
6. 从这里开始，您可以决定将旧 CA 保留到所有证书到期，或者执行强制您的网络系统重新注册新 PKI 的过程。

Microsoft 的目录服务团队为此提供了一个很好的高级演练。

有关更深入的信息，这是我遵循的演练。

此外，这里有一份 Technet 指南和一些有关该过程的规划信息。