我在小型网络(大约 30 台客户端 PC)上继承了 Windows Server 2019 域控制器,其中安装了 AD CS。我想为 AD CS 设置专用服务器,因为在 DC 上安装 AD CS 是不好的做法,我计划使用证书对用户/计算机进行 Radius 身份验证。
我已经研究了将 CA 转移到另一台计算机的过程,但是由于所有证书模板都未配置,并且根证书的密钥长度只有 2048 位,所以我宁愿从头开始。
目前唯一仍然有效的证书是域控制器证书。DC 与 Entra 同步,我认为这需要域控制器证书。
问题:
- 在这种情况下,删除完整的 ca 可以接受吗?
- DC 是否只会采用新的域控制器证书还是会失效?
- Entra 在这方面有任何问题吗?
答案1
域控制器证书用于:
- LDAPS(基于 SSL 的 LDAP)
- 智能卡登录
- 严格的 KDC 验证
如果两者都未使用,则可以使用本文中的说明安全地停用旧版 CA:https://learn.microsoft.com/en-us/archive/technet-wiki/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects
答案2
或者仅向林中添加新的 DC,并降级原始服务器,仅将其保留为 CA?