我最近使用以下方法将企业 CA 从 Windows Server 2003 迁移到 Windows Server 2012 R2:Active Directory 证书服务迁移指南。
CA 完全在一台机器上运行,看起来就像是一个典型的“下一步、下一步、完成”安装,没有任何思考或计划,因为他们意识到他们在某个时候需要 CA。
本指南建议您尽可能将目标服务器命名为与源服务器相同的名称。但是,如果源服务器和目标服务器的名称不同,则指南中还包含应执行的额外步骤。我在迁移过程中完成了这些额外步骤。
但是,我还有一个问题,指南似乎没有解决。最初部署 CA 时,CPD 和 AIA URL 保留为开箱即用的默认值。这意味着已颁发证书中的 CDP 和 AIA URL 按名称引用旧机器,例如:
http://server01.ad.contoso.com/CertEnroll/crl.crl
我不是 AD CS 专家,但我认为最佳做法是使用类似以下方法来打破这种依赖关系:
http://crl.contoso.com/CertEnroll/crl.crl
...但是现在证书已经颁发了,已经太晚了。
我猜测 TechNet 上的迁移指南假设您在部署 CA 时遵循了最佳实践,这意味着您不会遇到此问题。
所以,我的问题是,解决这个问题的最佳方法是什么?我看到几个人建议我应该创建一个 CNAME,将旧的 CA 服务器名称指向新的 CA 服务器。其他人说我可以选择 MMC 中的每个证书模板并要求它重新颁发与它们相关的证书。我不确定这两种方法是否真的是最好的方法。