Я хочу мирного перехода от старого автономного ЦС к ЦС предприятия. Я собираюсь отключить сервер по завершении этого процесса.
Мой мыслительный процесс - опубликовать CRL с длинным окном в автономном ЦС и остановить службы сертификатов. Отсюда я думаю, что у меня должна быть возможность просто остановить службы сертификатов и создать свой корпоративный ЦС, как будто автономного блока не существует.
Я понимаю, что при этом я не смогу отозвать сертификаты на моем существующем автономном сервере и что в конечном итоге мне придется извлечь ссылку на мой старый сервер сертификатов из Active Directory.
Есть ли какие-нибудь зависания, о которых я должен знать, идя по этому маршруту и / или более чистой альтернативе? Меня особенно беспокоит наличие двух ящиков в качестве авторизованных центров сертификации в AD.
Я понимаю, что этот вопрос может касаться некоторых из тех же вопросов, что и этот предыдущий вопрос но я не хочу, чтобы мой старый сервер оставался в сети.
При создании автономного корневого ЦС с подчиненным ЦС предприятия обычно устанавливается корневой ЦС с длительным периодом проверки, чтобы вам не приходилось часто загружать его для повторной выдачи сертификата ЦС подчиненного.
При этом вы можете просто выдать корпоративному ЦС сертификат подчиненного ЦС, подписанный корнем, которому все уже доверяют. Импортируйте сертификат корневого CA и CRL в AD, и все будет в порядке. Вам следует по своему усмотрению повторно выпустить сертификаты, выданные автономным центром сертификации предприятия. У Microsoft есть довольно подробные инструкции по настройке этих различных сценариев. Вот
Вы не можете использовать автоматическую регистрацию без корпоративного центра сертификации, поэтому я не уверен, почему вы должны беспокоиться о том, чтобы офлайн «опубликовал». Возможно, вы захотите просто проверить в AD Sites & Services - в разделе Services -> Public Key Services -> Enrollment Services, что после завершения установки указан только центр сертификации предприятия.