使用 Microsoft CA,有没有办法从中间颁发机构切换到新的证书颁发机构?
我的两个系统都是 Microsoft CA - 我有一个 2008 R2 Enterprise CA(中间)和一个旧的 2003 CA(根)。2003 盒子坏了,我没有好的备份。在 CRL 到期之前我还有几个月的时间;除了必须切换到新的中间机构之外,有没有现成的方法可以将这个中间机构简单地指向新的离线 CA?
答案1
MS 在该领域有很好的文档,例如:Active Directory 证书服务迁移指南
答案2
根据我的研究,似乎可以通过将新的 CA 添加到活动目录、对所有自动注册的模板执行重新注册证书持有者命令以及手动更新 Web 等模板来实现这一点。
由于我的组织在安装了 SharePoint 的盒子上有一个 CA,因此我们继续借此机会拆分这些角色。
Shane 的回答在不干扰现有 CA 的情况下添加新的根/企业 CA?在这一过程中被证明是非常有价值的。