Назад | Перейти на главную страницу

Добавление нового корневого / корпоративного ЦС без нарушения существующего?

Я собираюсь установить новую интегрированную в AD структуру центра сертификации предприятия, но обнаружил, что кто-то уже создал центр сертификации (в основном используется для SSL на внутренних веб-сайтах).

Я хочу построить новую структуру в соответствии с передовой практикой, создав автономный корень, авторизовав несколько подчиненных центров сертификации для обеспечения отказоустойчивости и т. Д., Но я не хочу испортить то, что уже есть. По-видимому, вы не можете превратить существующий корневой ЦС в подчиненный, поэтому это исключено.

Могу ли я просто установить новый рут в другом месте, не трогая существующий? (Или, может быть, подписать существующий ЦС с полномочиями нового корня?)

Разобравшись с тем же сценарием, вот обзор моего подхода:

Установите и запустите новую среду, но не давайте ей возможности выдавать сертификаты - используйте LoadDefaultTemplates=False в вашем capolicy.inf.

Хотя устройства по-прежнему настроены на то, чтобы не выдавать никаких шаблонов, уравняйте все с новой средой, местоположениями AIA, распределением CRL и т. Д. Проверьте работоспособность всех с помощью оснастки Enterprise PKI.

Затем, когда вы будете готовы, измените конфигурацию существующего центра сертификации, чтобы прекратить выдачу сертификатов для определенных шаблонов. Вы еще не убиваете сервер, а просто говорите ему, чтобы он прекратил выдавать новые сертификаты. Добавьте те же самые шаблоны в разрешенные политики выпуска вашей новой среды.

Затем используйте параметр «повторно зарегистрировать держателей сертификатов» в средстве управления шаблонами для шаблонов, которые имеют сертификаты и регистрируются автоматически (сертификаты пользователя, компьютера и контроллера домена). Это приведет к увеличению версии шаблона и заставит их получить новый сертификат из новой инфраструктуры, когда их автоматическая подача заявки будет импульсной.

Это покроет вас для этих сертификатов, но для сертификатов веб-сервера, к сожалению, это будет ручной процесс. Выпустите повторно для каждого и измените слушателей на новые сертификаты.

Как только вы будете достаточно уверены, что все сертификаты были выданы повторно, выведите из строя старый ЦС, но пока не удаляйте роль. Сделайте что-нибудь вроде удаления всех точек распространения AIA или CRL в конфигурации CA, а затем удаления файлов / объектов из этих мест (LDAP, вероятно, является основным, но http и smb также нуждаются в проверке). Подождите несколько недель; когда что-то сломается, вы можете повторно добавить точки AIA / CRL, которые вы удалили, и повторно опубликовать (certutil -dspublish) если нужно.

Как только вы убедитесь, что старый ЦС больше не использует, удалите роль, а затем очистите Active Directory. AIA, CRL и дельта CRL требуют удаления вручную, что можно сделать с помощью параметра «Управление контейнерами AD» в оснастке Enterprise PKI.

Согласно этой статье: http://thedailyreviewer.com/server/view/multiple-enterprise-certificate-authorities-10276898 Microsoft разрешает это, но не рекомендует. Мы столкнулись с этим выбором: мы отключили старый сервер и начали заново. Одним из первых, что мы сделали, было перевыпускать сертификаты тем, кто активно использует SSL.