在这里扩展我的帖子:如何修复因丢失或多个 CA 证书而导致的链问题?
我认为上述问题是 CA 本身和组策略中缺少根 CA 证书,而我在我们的 IT 文件共享、证书备份等中找不到它们。我认为这是由多年前一位管理员进行的一次拙劣的根 CA 迁移造成的。在我看来,解决这个问题的最佳方法是用新的根 CA 替换旧的根 CA,而不将证书移动到新的 CA。我们想尝试实现始终在线的 VPN,这需要 CA,我不想继续为此使用我们验证有缺陷的根 CA。
该CA用于文档签名、WIFI访问证书、代码签名和内部SSL证书。过去10年来有数万份证书。
一个问题是,我们一半的用户都在远程,很少使用 VPN。问题开始出现,几个月前的政策对其中一些人仍然有效,我不知道更换根 CA 会对他们产生什么影响。
我怎样才能以最少的问题将我们的组织移至新的根 CA?
答案1
证书由两部分组成 - 私钥和公钥。如果您想颁发新证书,则需要一个具有私钥的有效且可用的根 CA。但是,对于颁发给端点的现有、未过期的证书,您只需要根 CA 公钥。任何当前信任这些证书的设备都会有公共根证书。您可以将其导出并导入到您想要信任这些证书的任何其他设备上。但是,如上所述,您需要重建 CA,重新部署新的根证书,并重新部署所有现有证书,以建立可持续的环境。所有现有证书要么已过期,要么即将过期。
一旦根证书过期,所有其他证书都将失效。因此,如果您在此之前执行此操作,您应该能够保持连接并获取 GPO 以推出新的根证书、重新配置 VPN 等。对于那些证书已过期的系统 - 您无能为力。您可能需要考虑在 VPN 上启用用户名/密码身份验证(带有可选的 MFA),以便他们可以连接、刷新组策略、接收新证书,然后切换回始终启用基于证书的 VPN 身份验证。
如果幸运的话,您的身份验证服务器可能会有一个选项,可以忽略过期的证书,只验证签署证书的根 CA。这将是另一种可选的解决方法。