我们已经在网络中为 Windows 7/10 客户端部署了 DirectAccess,效果很好。问题是,DA 服务器/客户端证书基于我们正在淘汰的内部 PKI;我们已经构建了另一个 PKI(两层、离线 rootca 和从属 ca),我们正在将所有证书迁移到该 PKI。
我遇到的问题是将我们的 DA 基础架构迁移到新的 PKI。我需要向客户端计算机颁发新的计算机证书模板(与旧的计算机证书一起颁发,以保留其现有的 DA 功能);然后,一旦所有客户端都拥有来自新 PKI 的计算机证书,我将在 DA 服务器上更新该证书。
我遇到的问题(或缺乏知识)是接下来会发生什么?客户端是否能够使用新 PKI 颁发的新证书重新连接到 DA 服务器?
或者直到他们通过网络获取最新的 GPUPDATE 时,情况才会严重恶化。
有谁经历过类似的事情,想分享一下经验吗?我最好的应对措施是什么。
答案1
如果您要迁移到全新的 PKI 层次结构(而不是从现有层次结构中的新从属 CA 颁发证书),则进行此更改时,网络外部的客户端会受到干扰。在远程访问管理控制台中指定新的根 CA 后,所有当前的 DirectAccess 客户端连接都将被断开。重新建立连接的唯一方法是返回内部网络并更新组策略。或者,远程客户端可以使用 VPN 连接并更新组策略。如果要不间断地迁移 PKI,则必须部署配置为使用新 PKI 的 DirectAccess 的单独实例。然后,您可以将客户端从旧 DirectAccess 部署迁移到新部署,并在所有客户端成功迁移后停用旧部署。
如果您还有其他问题,请告诉我!:)
- 富有的