迁移需要降级的域控制器的 PKI 和 CA

迁移需要降级的域控制器的 PKI 和 CA

我有一台域控制器,出于某种原因,它安装了 ADCS。域控制器是一台 2008 R2 服务器,需要降级,但首先我需要做两件事之一。这台服务器还运行 DHCP、NPS(RADIUS 服务器)和其他第三方软件。

我的选择(根据我的说法) 1. 将 ADCS 迁移到不同的服务器(它将是一台装有 2012 R2 的新机器)。 https://technet.microsoft.com/en-us/library/ee126140(v=ws.10).aspx 2. 启动离线非域加入根 CA,并拥有实时域加入颁发 CA。然后,我将在域控制器上备份 ADCS,撤销所有已颁发的证书并删除服务器角色。

看来,要使选项 1 起作用,我还需要迁移计算机名称和 IP。如果我选​​择选项 2,我可以采取哪些步骤来减轻可能的影响。目前,CA 已颁发了 9 个证书。但是,只有 3 个尚未过期,其中 2 个将在下周过期,第三个将在一年后过期。

从该域控制器中获取 ADCS 的最佳方法是什么?

答案1

本周之后,如果只有一个有效证书取决于现有的 CA,我将执行以下操作:

  • 启动一个全新的并行 PKI 基础设施(无论你想让它有多复杂)
  • 生成一个新证书来替换剩余的证书,并迁移应用程序以使用新证书
  • 彻底停用旧 CA。

如果两个即将到期的证书需要续订,并且您可以提前获得新的 CA,则只需从新 CA 生成新证书即可。否则,请从旧证书续订,然后以与另一个证书相同的方式迁移它们。

相关内容