Hinzufügen einer neuen Stamm- / Unternehmenszertifizierungsstelle, ohne die vorhandene zu stören?

Ich möchte eine neue AD-integrierte Struktur für Unternehmenszertifizierungsstellen installieren, habe jedoch festgestellt, dass bereits eine Zertifizierungsstelle erstellt wurde (die hauptsächlich für SSL auf internen Websites verwendet wird).

Ich möchte die neue Struktur gemäß den Best Practices erstellen, indem ich ein Offline-Stammverzeichnis erstelle, mehrere untergeordnete Zertifizierungsstellen für Fehlertoleranz autorisiere usw., aber ich möchte nicht das durcheinander bringen, was bereits vorhanden ist. Anscheinend können Sie eine vorhandene Stammzertifizierungsstelle nicht in eine untergeordnete CA verwandeln, sodass dies ausgeschlossen ist.

Kann ich das neue Stammverzeichnis einfach an einer anderen Stelle installieren, ohne das vorhandene zu berühren? (Oder die bestehende Zertifizierungsstelle mit der Autorität des neuen Stamms signieren?)

Nachdem ich mich mit demselben Szenario befasst habe, gibt es hier einen Überblick über den Ansatz, den ich gewählt habe:

LoadDefaultTemplates=FalseStarten Sie die neue Umgebung, geben Sie ihr jedoch keine Möglichkeit, Zertifikate auszustellen - verwenden Sie sie in Ihrer capolicy.inf.

Während die Geräte noch so eingestellt sind, dass sie keine Vorlagen ausgeben, können Sie alles mit der neuen Umgebung, den AIA-Standorten, der CRL-Verteilung usw. vereinbaren. Überprüfen Sie den Zustand aller Geräte mit dem Enterprise PKI-Snap-In.

Wenn Sie bereit sind, ändern Sie die Konfiguration der vorhandenen Zertifizierungsstelle, um die Ausstellung von Zertifikaten für bestimmte Vorlagen zu beenden. Sie beenden den Server noch nicht, sondern weisen ihn nur an, keine neuen Zertifikate mehr auszustellen. Fügen Sie dieselben Vorlagen zu den zulässigen Ausstellungsrichtlinien Ihrer neuen Umgebung hinzu.

Verwenden Sie dann die Option "Zertifikatsinhaber erneut registrieren" im Vorlagenverwaltungstool für die Vorlagen, für die Zertifikate vorhanden sind und die automatisch registriert werden (Benutzer-, Computer- und Domänencontroller-Zertifikate). Dadurch wird die Vorlagenversion gestoßen und sie erhalten ein neues Zertifikat aus der neuen Infrastruktur, wenn ihre automatische Registrierung pulsiert.

Dies wird Sie für diese Zertifikate abdecken, aber für Webserver-Zertifikate wird es leider ein manueller Prozess sein. Stellen Sie die einzelnen Zertifikate erneut aus und wechseln Sie die Listener zu den neuen Zertifikaten.

Wenn Sie ziemlich sicher sind, dass alle Zertifikate erneut ausgestellt wurden, lähmen Sie die alte Zertifizierungsstelle, entfernen Sie die Rolle jedoch noch nicht. Entfernen Sie alle AIA- oder CRL-Verteilungspunkte in der Konfiguration der Zertifizierungsstelle und löschen Sie dann die Dateien / Objekte von diesen Speicherorten (LDAP ist wahrscheinlich die wichtigste, aber auch http und smb müssen überprüft werden). Warten Sie einige Wochen auf Probleme. Wenn etwas kaputt geht, können Sie die gelöschten AIA / CRL-Punkte erneut hinzufügen und certutil -dspublishbei Bedarf erneut veröffentlichen ( ).

Wenn Sie zufrieden sind, dass die alte Zertifizierungsstelle nicht mehr verwendet wird, entfernen Sie die Rolle und bereinigen Sie Active Directory. Die AIA-, CRL- und Delta-CRLs müssen manuell gelöscht werden. Dies können Sie in der Option "AD-Container verwalten" im Enterprise-PKI-Snap-In durchführen.

Laut diesem Artikel: http://thedailyreviewer.com/server/view/multiple-enterprise-certificate-authorities-10276898 Microsoft erlaubt dies, empfiehlt es jedoch nicht. Wir standen vor dieser Entscheidung, den alten Server offline zu schalten und von vorne zu beginnen. Eines der ersten Dinge, die wir getan haben, war die erneute Ausstellung der Zertifikate für diejenigen, die aktiv SSL verwenden.