Недавно я перенес корпоративный ЦС из Windows Server 2003 в Windows Server 2012 R2, используя Руководство по миграции служб сертификации Active Directory.
Центр сертификации работал полностью на одной машине и выглядел так, как будто это была типичная установка «следующий, следующий, завершение», выполненная без каких-либо размышлений или планирования, поскольку они поняли, что в какой-то момент им нужен CA.
В руководстве рекомендуется по возможности называть конечный сервер таким же, как исходный. Однако он включает дополнительные шаги, которые необходимо выполнить, если у источника и назначения разные имена. Я выполнил эти дополнительные шаги во время миграции.
Однако у меня осталась проблема, которую, похоже, не решает руководство. Когда CA был первоначально развернут, URL-адреса CPD и AIA были оставлены стандартными значениями по умолчанию. Это означает, что URL-адреса CDP и AIA в уже выданных сертификатах ссылаются на старый компьютер по имени, например:
http://server01.ad.contoso.com/CertEnroll/crl.crl
Я не специалист по AD CS, но считаю, что лучше всего сломать эту зависимость, используя что-то вроде:
http://crl.contoso.com/CertEnroll/crl.crl
... но уже поздно, сертификаты выданы.
Я предполагаю, что Руководство по миграции на TechNet предполагает, что вы следовали передовой практике при развертывании центра сертификации, а это означает, что вы не столкнетесь с этой проблемой.
Итак, мой вопрос: как лучше всего решить эту проблему? Я видел, как несколько человек предлагали мне создать CNAME, указывающее старое имя сервера CA на новый сервер CA. Другие сказали, что я могу выбрать каждый из шаблонов сертификатов в MMC и попросить его повторно выпустить сертификаты, связанные с ними. Я не уверен, действительно ли это лучший подход.