我被派去参与一个 CA 迁移项目。我的同事正在将根证书颁发机构从 2008 R2 服务器迁移到新的 2019 服务器。他们同时运行两台服务器,并在两台服务器上运行 Active Directory 证书服务。他们开始手动重新创建我们托管的网站证书并将其放在新的 CA 上。阅读许多网站和博客文章后发现,这不是迁移根 CA 的正确方法,而是将 CA 数据库和注册表项导出到新服务器,并且域中一次只能有一个根 CA。
当前设置:
- 自动注册已启用
- 我们没有下属 CA
- 域中的所有 PC 都接受新的根 CA 服务器和旧的根 CA 服务器作为受信任的根。
我的问题是:
1) 我们如何通过自动注册仅从新的根 CA 向所有客户端颁发新证书,而不会出现安全漏洞?
2)我推测在关闭它之前我们需要撤销旧 CA 的所有证书?
3) 关于我们所用的方法,有哪些文章我可以关注?
谢谢。