我希望从旧的独立 CA 平稳过渡到企业 CA。我打算在完成此过程后将服务器离线。
我的想法是在独立 CA 上发布一个具有长窗口的 CRL 并停止证书服务。从这里开始,我认为我应该能够简单地停止证书服务并构建我的企业 CA,就好像独立框不存在一样。
我意识到这样做我将无法撤销现有独立服务器上的证书,并且最终需要从 Active Directory 中拉出对我的旧证书服务器的引用。
我应该注意走这条路线有什么问题吗?或者有更干净的替代方案吗?我特别担心在 AD 中有两个盒子作为授权 CA。
我意识到这个问题可能涉及一些与先前这个问题但我不想让我的旧服务器保持在线。
答案1
在使用企业从属 CA 构建离线根 CA 时,通常会设置一个较长的验证期,这样您就不必经常启动它来重新颁发子 CA 的证书。
话虽如此,您可以简单地向企业 CA 颁发由每个人都信任的根 CA 签名的从属 CA 证书。将根 CA 的证书和 CRL 导入 AD,您就可以开始了。您应该在方便的时候重新颁发由企业 CA 上的独立 CA 颁发的证书。Microsoft 有非常详细的指南来配置这些不同的场景这里
如果没有企业 CA,您就无法使用自动注册,所以我不确定您为什么会担心离线“发布”。您可能只想在 AD 站点和服务中验证 - 在服务 -> 公钥服务 -> 注册服务下,安装完成后仅列出企业 CA。