一个环境中有两个 Windows 证书颁发机构,通过自动注册发布计算机证书以进行 DirectAccess 身份验证。
- 客户 CA 1
- 客户 CA 2
证书颁发机构需要升级操作系统,因此创建了两个新的 CA,它们与以前的 CA 同名,但在名称中添加了 v2:
- 客户 CA v2 1
- 客户 CA v2 2
先前的证书颁发机构并未退役并且仍然在线。
现在,当客户端申请自动注册证书时,它似乎会随机从旧 CA“客户 CA”或新 CA“客户 CA v2”获取证书
仅当从旧的“客户 CA”获得证书时,直接访问身份验证才有效
检查直接访问远程访问配置可以看到它配置为使用旧的客户 CA,但它似乎只能选择一个证书。
有哪些方法可以解决此问题?
我对一些选择的想法:
1) 有没有办法通过组策略或脚本确保从旧 CA 和新 CA 进行自动注册?
2) 退役客户 CA 1 和 2。指向直接访问客户 CA v2 证书。
3) 如果可能的话,允许直接访问来自客户 CA 或客户 CA v2 的证书。目前还不清楚如何实现这一点。
4) 重新执行升级过程,以确保新旧证书受 Direct Access 信任。不确定此过程可能涉及哪些内容(如果可能)。
注意:我根本没有参与 CA 升级过程,我只是在事后观察此事。
答案1
我的解决方案(我不确定这是否是最好的解决方案)是设置第二个直接访问服务器,并同时设置旧的和新的 CA。
在初始设置期间,执行此操作需要做一些工作,并且需要为新 CA 创建一个新计算机组。我还创建了一个新的证书模板新的直接访问。有了两个 CA 和 DirectAccess 服务器,并分别用于选择哪些直接访问服务器,迁移就是这样发生的。
- 旧电脑属于旧组并且运行良好。
- 当我想迁移一台计算机时,我将其从旧的直接访问计算机组移除到新的直接访问计算机组
- 离网计算机将使用旧策略配置连接到旧服务器并评估组策略。
- 组策略告诉它使用新模板获取新证书,该模板配置为仅从新 CA 颁发。
- 组策略告诉它获取新的 DirectAccess 配置
- 由于旧配置不再适用,因此所有旧配置都将被删除。
然后,计算机将使用新的证书/配置重新连接到新的 DirectAccess 服务器。