我正在考虑安装一个新的 AD 集成企业证书颁发机构结构,但发现有人已经创建了一个 CA(主要用于内部网站上的 SSL)。
我想根据最佳实践构建新结构,通过创建离线根 CA、授权多个下属 CA 以实现容错等方式,但我不想破坏现有的结构。显然,您无法将现有的根 CA 转变为下属 CA,因此这被排除在外。
我可以简单地在其他地方安装新的根,而不触及现有的根吗?(或者也许使用新根的权限对现有 CA 进行交叉签名?)
答案1
处理过同样的情况后,以下是我采取的方法概述:
启动并运行新的环境,但不要赋予它任何颁发证书的能力 -LoadDefaultTemplates=False
在您的 capolicy.inf 中使用。
虽然设备仍然设置为不发布任何模板,但要让一切与新环境、AIA 位置、CRL 分发等相一致。使用企业 PKI 管理单元检查所有内容的运行状况。
然后,当您准备就绪时,更改现有 CA 的配置以停止为某些模板颁发证书。您还没有关闭服务器,只是告诉它停止颁发新证书。将这些相同的模板添加到新环境的允许颁发策略中。
然后,对具有证书并自动注册的模板(用户、计算机和域控制器证书)使用模板管理工具上的“重新注册证书持有者”选项。这将提升模板版本,并导致他们在自动注册脉冲时从新的基础设施中获取新证书。
这将涵盖这些证书,但对于 Web 服务器证书,不幸的是,这将是一个手动过程。为每个证书重新颁发,并将侦听器更改为新证书。
一旦您确信已重新颁发所有证书,请禁用旧 CA,但不要删除该角色。 删除 CA 配置中的所有 AIA 或 CRL 分发点,然后从这些位置删除文件/对象(LDAP 可能是主要的,但 http 和 smb 也需要检查)。 等待问题出现几周;当出现问题时,您可以重新添加已删除的 AIA/CRL 点,并certutil -dspublish
根据需要重新发布()。
一旦您确信不再使用旧 CA,请删除该角色,然后清理 Active Directory。AIA、CRL 和增量 CRL 需要手动删除,您可以在企业 PKI 管理单元中的“管理 AD 容器”选项中执行此操作。
答案2
根据这篇文章:http://thedailyreviewer.com/server/view/multiple-enterprise-certificate-authorities-10276898 Microsoft 允许这样做,但不推荐这样做。我们面临这个选择,我们选择离线旧服务器并重新开始。我们做的第一件事就是为那些积极使用 SSL 的人重新颁发证书。