Nachdem ich mich mit demselben Szenario befasst habe, gibt es hier einen Überblick über den Ansatz, den ich gewählt habe:
LoadDefaultTemplates=False
Starten Sie die neue Umgebung, geben Sie ihr jedoch keine Möglichkeit, Zertifikate auszustellen - verwenden Sie sie in Ihrer capolicy.inf.
Während die Geräte noch so eingestellt sind, dass sie keine Vorlagen ausgeben, können Sie alles mit der neuen Umgebung, den AIA-Standorten, der CRL-Verteilung usw. vereinbaren. Überprüfen Sie den Zustand aller Geräte mit dem Enterprise PKI-Snap-In.
Wenn Sie bereit sind, ändern Sie die Konfiguration der vorhandenen Zertifizierungsstelle, um die Ausstellung von Zertifikaten für bestimmte Vorlagen zu beenden. Sie beenden den Server noch nicht, sondern weisen ihn nur an, keine neuen Zertifikate mehr auszustellen. Fügen Sie dieselben Vorlagen zu den zulässigen Ausstellungsrichtlinien Ihrer neuen Umgebung hinzu.
Verwenden Sie dann die Option "Zertifikatsinhaber erneut registrieren" im Vorlagenverwaltungstool für die Vorlagen, für die Zertifikate vorhanden sind und die automatisch registriert werden (Benutzer-, Computer- und Domänencontroller-Zertifikate). Dadurch wird die Vorlagenversion gestoßen und sie erhalten ein neues Zertifikat aus der neuen Infrastruktur, wenn ihre automatische Registrierung pulsiert.
Dies wird Sie für diese Zertifikate abdecken, aber für Webserver-Zertifikate wird es leider ein manueller Prozess sein. Stellen Sie die einzelnen Zertifikate erneut aus und wechseln Sie die Listener zu den neuen Zertifikaten.
Wenn Sie ziemlich sicher sind, dass alle Zertifikate erneut ausgestellt wurden, lähmen Sie die alte Zertifizierungsstelle, entfernen Sie die Rolle jedoch noch nicht. Entfernen Sie alle AIA- oder CRL-Verteilungspunkte in der Konfiguration der Zertifizierungsstelle und löschen Sie dann die Dateien / Objekte von diesen Speicherorten (LDAP ist wahrscheinlich die wichtigste, aber auch http und smb müssen überprüft werden). Warten Sie einige Wochen auf Probleme. Wenn etwas kaputt geht, können Sie die gelöschten AIA / CRL-Punkte erneut hinzufügen und certutil -dspublish
bei Bedarf erneut veröffentlichen ( ).
Wenn Sie zufrieden sind, dass die alte Zertifizierungsstelle nicht mehr verwendet wird, entfernen Sie die Rolle und bereinigen Sie Active Directory. Die AIA-, CRL- und Delta-CRLs müssen manuell gelöscht werden. Dies können Sie in der Option "AD-Container verwalten" im Enterprise-PKI-Snap-In durchführen.