迁移到双层 PKI(微软)

迁移到双层 PKI(微软)

目前,我有一个在线企业根 CA(和颁发证书 - 默认模板),安装在 DC 上(是的,是的,我知道 - 最坏的情况)。我设置了另一个未加入域服务器的离线服务器、LB 下的 2 个 IIS 服务器和 2 个企业颁发服务器,在继续之前,我需要一些答案:

注意:最终目标是替换而不是迁移当前的集合/证书。

1) 当前 CA 通用名称(不是服务器名称)是 example-root-ca,我在安装 CA 角色时可以给新的离线服务器 CA 根赋予相同的通用名称吗?这会以某种方式影响当前证书吗?我应该使用新名称吗?为什么?

2) 安装多个下属发行服务器,再次配置 CA 角色时,它也会要求提供通用名称 - 所以 2 个服务器应该使用相同的通用名称?或者它们有不同的通用名称(或者甚至据我记得它必须是唯一的)? - 在这种情况下,我在想客户端将如何获取证书?一些将从服务器 1 获取,一些将从服务器 2 获取?当他们尝试续订时会发生什么?

答案1

安装 CA 角色时,我可以为新的离线服务器 CA 根指定相同的通用名称吗?这会对当前证书产生影响吗?

如果您愿意,可以对根 CA 重新使用相同的名称。由于公钥/私钥不同,因此无论名称是否相同,证书实际上都会不同。由于这是一个离线根 CA,因此不会与 AD 中的任何内容发生冲突(如果这个证书也加入了域,则可能会发生冲突)。此外,管理两个具有相同主题名称的根 CA 证书会稍微更具挑战性,因为如果不查看有效期/截止日期,就很难区分这两个证书。

那么 2 台服务器应该使用相同的通用名称吗?

颁发 CA 的名称必须是唯一的。请注意,拥有两个颁发 CA 不会给您带来任何形式的负载平衡。您最终只会有两个颁发 CA。可以说,您将拥有某种形式的故障转移,即如果一个 CA 出现故障,另一个 CA 仍然可以为请求提供服务。

在这种情况下,我在想客户端将如何获取证书?一些从服务器一获取,一些从服务器二获取?

如果您有多个颁发 CA,则用户可以选择将请求发送到哪个 CA。列表将来自 AD,并且如果其中一个 CA 发生故障,列表不会更改。因此,如果用户选择的 CA 恰好处于离线状态,则请求将失败。

自动注册的证书将选择启用了模板的任何 CA。如果多个 CA 启用了模板,我不确定决定使用哪个 CA 的过程;但是我似乎记得启用了模板的 CA 后来似乎收到了请求,但我没有进行足够彻底的测试来确定。

相关内容