我正在淘汰旧的 Windows 集成 CA,并上线一个新的、配置正确的 CA(实际上是几个)。由于组策略,我们的大多数系统都无法使用 EFS……但由于某些配置错误,少数域用户能够自动注册 EFS 证书。到目前为止,没有一个用户知道他们加密了什么文件,并且搜索他们的文件也cipher /u /n找不到任何东西……但我不能当然我们没有错过任何加密文件。
我必须尽快停用此 CA,因此我必须撤销 EFS 证书并确保 EFS 对这些用户完全禁用。出于多种原因,我也无法将旧 CA 迁移到新 CA。那么,对于那些可能一直在使用 EFS 的用户,我有哪些选择可以关闭 EFS 而不会丢失数据呢?
答案1
一开始我以为你会想创建一个域恢复代理然后我被提醒说(我无法证实这一点),我相信 DRA 只适用于恢复加密的文件后代理已创建。此外,撤销证书可能会使事情变得有些复杂。尽管如此,请考虑一下您可以使用域恢复代理做什么。
但是,看起来您已经做了一切合理的工作来判断是否有文件被加密。获取已获得证书的所有用户的列表,确保他们了解即将发生的事情,让他们签署承认情况的文件并由经理见证。然后,拔掉插销,让旧 CA 漂流到大海。
答案2
进一步的研究表明EFS 证书将继续读只要用户有证书,任何加密文件都可以……即使证书被吊销且 CA 已停用。
证书被撤销后,用户无法对任何文件进行(重新)加密……无论如何,我们都不希望他们这样做。
因此,我不需要使用 CRL 签名或任何其他策略来维持旧 CA 的生命支持;它现在已完全退役,并且用户(以及他们之前可能加密的任何文件)都完好无损。
(PS:如果这些用户帐户需要迁移到林中的另一个域,我最终可能会遇到问题,因为旧的 EFS 证书可能不会被迁移......)