Я новичок в ADCS, и у меня возникла проблема перенести наш старый PKI Tire-2 на SHA-256. Поскольку нам было предложено настроить параллельный ЦС SHA-2, я не приветствую никаких идей, как это сделать, я могу создать автономный корневой ЦС с SHA-2, но затем как опубликовать его в моей текущей среде , Также как через какое-то время перестать использовать сертификаты SHA-1. Пытался искать в блогах и статьях, я искал любой пошаговый документ, но не нашел подходящего, любое предложение будет оценено.
Спасибо
Я могу создать автономный корневой центр сертификации с помощью SHA-2, но затем как опубликовать его в моей текущей среде.
Практически так же, как вы изначально опубликовали старый сертификат. Вы можете опубликовать его с помощью групповой политики или опубликовать в AD (certutil -dspublish). В основном инструкции по публикации будут следовать тем же указаниям, которым вы следуете для нового центра сертификации.
Также, как через какое-то время перестать использовать сертификаты SHA-1.
Вы начинаете с перехода к существующему ЦС, изменения существующих шаблонов и настройки безопасности этих шаблонов, чтобы предотвратить новые сертификаты для этих шаблонов. Затем вы можете просто подождать, пока истечет срок действия большинства существующих сертификатов, или, если вам нужно, чтобы они исчезли раньше, вы можете сценарий их удаления из любых систем, в которых они находятся.