背景:服务器操作系统是 Windows Server 2012。随着我们熟悉 powershell,安装了 GUI。设置处于准备阶段,尚未投入生产(目前)。
我们已经安装了(内部、域受限)根 CA。我想将根 CA 脱机以保护存储,但在此之前,我想设置一个中间 CA,它可以接管实际的实时在线(int-RA-net)功能
我该如何做到以上几点?我认为完整的答案应该涵盖
- 创建中级 CA 证书请求
- 在域控制器上安装中级 CA 证书(证书颁发机构角色已安装,Root CA 现已在线)
- 使用中间 CA 生成证书(任何使用证书,仅用于演示目的)
显然,此认证链在我们域外的计算机上无效(自我信任的根 - 我们的根证书不是来自常见的第三方)。最后一点不是问题。
答案1
我最近经历了从企业在线根 CA 迁移到两层 PKI 的过程。通常,您需要遵循的过程将包含以下步骤:
- 配置不会加入域的服务器并安装 Active Directory 证书服务。将其配置为独立的脱机根证书。
- 将您的根 CA 发布到林。
- 在线配置第二台服务器并加入域。将其配置为您的中间证书颁发机构。
- 从中间 CA 创建 CSR,并完成从离线根 CA 颁发证书的过程。
- 将证书模板迁移到新的中级 CA,并从原始 PKI 中删除模板。(这只会开始从中级 CA 颁发新证书,而不会使从原始 CA 颁发的证书无效。)
- 从这里,您可以决定保留旧的 CA,直到所有证书过期,或者强制您的网络系统重新注册新的 PKI。
Microsoft 的目录服务团队有一个很棒的对此进行高级演练。
如需了解更多详细信息,这是我遵循的演练。
此外,这是 Technet 指南还有一些规划流程信息。