我有一台装有 Windows 2019 的“CA1”服务器,该服务器具有 CA 根企业服务。此外,我还有另一台装有 Windows 2019 的服务器“CA-Subordinate”,其 CA 从属服务为“CA1”。我将停用 CA 根服务器“CA1”,并安装新的 CA 根服务器“CA-Root”。当我关闭“CA1”服务器时,“CA-Subordinate”证书和 CA 服务是否仍可在此服务器上运行?我可以将从属 CA“CA-Subordinate”移动到新的根 CA 服务器“CA-Root”,使其从属它吗?
谢谢
答案1
您需要使用新的根 CA(CA-Root)重新签发下属 CA(CA-Subordinate),以使下属 CA 颁发的证书保持有效。然后,您需要将重新签名的下属 CA 证书分发给所有订阅者,以便他们在 TLS 握手中出示正确签名的下属 CA 证书。
为此,您需要原始证书请求文件,该文件由下属 CA 在您的原始根 CA (CA-1) 签署之前生成。此文件通常在您构建下属 CA 时放置在其 C:\ 驱动器的根目录中(该文件以 CA 名称命名,通常以 结尾.req
)。将此文件复制到您的新根 CA (CA-Root) 并启动 CA 管理控制台。从那里,单击 CA 的名称,选择所有任务来自行动菜单并选择提交新请求...在里面打开请求文件窗口导航到.req
文件并单击打开。请求现在将显示在待处理请求队列,您可以查看。验证请求是否是当前下属 CA 证书的正确请求(提示:比较主题和公钥),然后一旦您满意,即可发出该请求。
您的最后一项任务是使用您最初使用的方法将此重新签名的从属 CA 分发给所有订阅者。
不过,这还不是你最不用担心的事情,因为你需要将新的根 CA (CA-Root) 证书分发给全部您的依赖方。如果您在 Windows 域中,则组策略可以为您分发它,否则这可能是一个费力的过程。
如果你不信任原始根 CA (CA-1),那么你需要确保其证书已从信任锚存储中删除全部依赖方。您还需要确保全部在执行此操作之前,订阅者已经将旧的从属 CA 证书替换为新的。