刚刚加入一家新公司。据说去年他们就废除了旧 CA,并在新服务器上恢复了证书。(2003 年至 2012 年)。我正准备在 CA 上更新证书(自签名),但意识到:
- 证书仍使用旧名称
- 新的CA服务器也是一个DC!
我现在很纠结:
- 备份所有与 CA 相关的内容(DB、Keys、Regs),获取具有旧名称的新服务器并将 CA 内容恢复到该服务器。(几乎像这里:http://technet.microsoft.com/en-us/library/ee126140%28WS.10%29.aspx#BKMK_RestoreCA)
- 创建新服务器作为另一个(新的)CA 并重新颁发所有证书。也就是说从头开始。
我倾向于 1,因为它现在似乎有效。我对 CA 并不是很精通。
您认为对于做 1 有什么反对意见吗?
答案1
我不是 PKI 专家,但我对 ADCS 有过一些研究。
如果您拥有的旧 CA 只是证书,那么我会选择 (2)(即创建一个全新的 CA 并淘汰旧 CA)。ADCS CA 会保存证书模板、已颁发和已撤销证书等的数据库,听起来您不再拥有旧 CA 的这些内容。在这种情况下,您将不得不重建、测试和排除环境所需的证书模板故障——这才是真正的工作所在。一旦模板开始工作,就可以快速重新颁发证书集体。
如果您尝试执行 (1),则可能会产生混淆,因为可能不清楚哪些证书是由旧 CA 颁发的,哪些是由新 CA 颁发的。我还怀疑 (1) 不是 Microsoft 支持的做法。