Назад | Перейти на главную страницу

Создать и использовать промежуточный центр сертификации в Windows Server 2012?

История вопроса: ОС сервера - Windows Server 2012. Графический интерфейс устанавливается по мере того, как мы приближаемся к скорости работы с PowerShell. Настройка - это постановка, а не производство (пока).

У нас установлен (внутренний, ограниченный доменом) корневой центр сертификации. Я хотел бы отключить корневой ЦС для обеспечения безопасности хранилища, но перед этим я хотел бы настроить промежуточный ЦС, который может выполнять фактическую работу в реальном времени, онлайн (int-RA-net).

Как я могу сделать это? Я предполагаю, что полный ответ охватит

создание запроса сертификата промежуточного ЦС
установка промежуточного сертификата ЦС на контроллер домена (роль центра сертификации уже установлена с корневым ЦС онлайн прямо сейчас)
использовать промежуточный ЦС для создания сертификата (любой сертификат использования, только в демонстрационных целях)

Очевидно, что эта цепочка сертификации будет недействительной на компьютерах за пределами нашего домена (самодоверенный корень - наш корневой сертификат НЕ от обычных третьих сторон). Последний пункт НЕ является проблемой.

certificate-authority windows-server-2012

Недавно я прошел через процесс миграции с корневого центра сертификации Enterprise Online на двухуровневую PKI. Обычно процесс, которому вы хотите следовать, будет содержать следующие шаги:

Подготовьте сервер, который не будет присоединен к вашему домену, и установите службы сертификации Active Directory. Настройте его как автономный автономный корневой сертификат.
Опубликуйте корневой центр сертификации в лесу.
Подготовьте второй сервер в сети и присоедините домен. Настройте это как промежуточный центр сертификации.
Создайте CSR из промежуточного ЦС и выполните процесс выдачи сертификата из автономного корневого ЦС.
Перенесите шаблоны сертификатов в новый Промежуточный ЦС и удалите шаблоны из исходной PKI. (Это только начнет выдавать новые сертификаты из вашего Промежуточного ЦС, НЕ аннулируя сертификаты, выданные из исходного ЦС.)
Отсюда вы можете решить оставить свой старый ЦС до истечения срока действия всех сертификатов или пройти процесс принудительной повторной регистрации ваших сетевых систем на новом PKI.

Команда служб каталогов в Microsoft имеет хороший Прохождение на высоком уровне для этого.

Для получения более подробной информации, вот пошаговое руководство, за которым я следил.

Дополнительно, вот руководство Technet и немного информация о планировании процесса.