В настоящее время у меня есть один сетевой корпоративный корневой центр сертификации (и выдача сертификатов - шаблоны по умолчанию), установленный на DC (да, да, я знаю - худший сценарий). Я установил еще один автономный режим, не связанный с сервером домена, 2 сервера IIS под LB и 2 корпоративных сервера-эмитента, и мне нужно несколько ответов, прежде чем я продолжу:
ПРИМЕЧАНИЕ. Конечная цель - ЗАМЕНИТЬ, а не переносить текущий набор / сертификаты.
1) Текущее общее имя CA (не имя сервера) - example-root-ca. Могу ли я дать новому автономному серверу корневому CA такое же общее имя при установке роли CA? Это как-то повлияет на действующие сертификаты? Стоит ли использовать новое имя и почему?
2) Установка нескольких подчиненных выдающих серверов, опять же, когда вы настраиваете роль CA, он также запрашивает общее имя - поэтому 2 сервера должны использовать одно и то же общее имя? или нормально у них разные общие имена (или даже насколько я помню, должно быть уникальным)? - В таком случае я думаю, как клиент получит сертификат? некоторые получат с сервера один, а некоторые с сервера 2? Что будет, когда они попытаются продлить?
Могу ли я дать новому офлайновому серверу корню CA такое же общее имя при установке роли CA? Это как-то повлияет на действующие сертификаты?
При желании вы можете повторно использовать то же имя для корневого центра сертификации. Поскольку открытый / закрытый ключ будет другим, сертификат будет фактически другим независимо от того, совпадает ли имя или нет. Поскольку это автономный корневой ЦС, в AD не будет конфликтов ни с чем (что могло бы иметь место, если бы этот ЦС также был присоединен к домену). Кроме того, управление двумя корневыми сертификатами ЦС с одинаковыми именами субъектов будет немного сложнее, просто потому, что будет труднее различать два сертификата, не глядя на действительные даты от / до.
так что 2 сервера должны использовать одно и то же общее имя?
Имена выдающего ЦС должны быть уникальными. Обратите внимание, что наличие двух выдающих центров сертификации не даст вам никакой формы балансировки нагрузки. Вы просто получите два центра сертификации. Можно утверждать, что у вас будет некоторая форма переключения при отказе в том смысле, что если один из них не работает, другой все еще может обслуживать запросы.
В таком случае я думаю, как клиент получит сертификат? некоторые получат с сервера один, а некоторые с сервера 2?
Если у вас есть несколько выдающих центров сертификации, пользователь сможет выбрать, в какой из них они хотят отправить запрос. Список будет из AD и не изменится, если один из центров сертификации не работает. Поэтому, если пользователь выберет ЦС, который оказывается в автономном режиме, запрос просто не удастся.
Автоматически регистрируемые сертификаты выбирают любой из центров сертификации, для которых включен шаблон. Я не уверен в том, какой ЦС следует использовать, если шаблон включен более чем в одном; однако я, кажется, припоминаю, что тот, у которого был включен шаблон, позже, похоже, получил запрос, но я не проверил достаточно тщательно, чтобы быть уверенным.