Hinzufügen einer neuen Stamm- / Unternehmenszertifizierungsstelle, ohne die vorhandene zu stören?


7

Ich möchte eine neue AD-integrierte Struktur für Unternehmenszertifizierungsstellen installieren, habe jedoch festgestellt, dass bereits eine Zertifizierungsstelle erstellt wurde (die hauptsächlich für SSL auf internen Websites verwendet wird).

Ich möchte die neue Struktur gemäß den Best Practices erstellen, indem ich ein Offline-Stammverzeichnis erstelle, mehrere untergeordnete Zertifizierungsstellen für Fehlertoleranz autorisiere usw., aber ich möchte nicht das durcheinander bringen, was bereits vorhanden ist. Anscheinend können Sie eine vorhandene Stammzertifizierungsstelle nicht in eine untergeordnete CA verwandeln, sodass dies ausgeschlossen ist.

Kann ich das neue Stammverzeichnis einfach an einer anderen Stelle installieren, ohne das vorhandene zu berühren? (Oder die bestehende Zertifizierungsstelle mit der Autorität des neuen Stamms signieren?)


Ich würde denken, Sie möchten nicht die Verwirrung haben, zwei zu haben (auch wenn es unterstützt wird, was nicht wahrscheinlich ist). Warum nicht mit dem Besitzer des anderen Servers zusammenarbeiten, um das zu unterstützen, was Sie brauchen?
uSlackr

Die Schwierigkeit besteht darin, dass die alte / vorhandene Zertifizierungsstelle auf einem Produktionswebserver installiert wurde, der für viele andere Zwecke verwendet wird. Wir können sie nicht aus der Domäne entfernen, umbenennen usw., wie M $ selbst für die Migration auf eine neue Zertifizierungsstelle empfiehlt.
Ewall

Antworten:


8

Nachdem ich mich mit demselben Szenario befasst habe, gibt es hier einen Überblick über den Ansatz, den ich gewählt habe:

LoadDefaultTemplates=FalseStarten Sie die neue Umgebung, geben Sie ihr jedoch keine Möglichkeit, Zertifikate auszustellen - verwenden Sie sie in Ihrer capolicy.inf.

Während die Geräte noch so eingestellt sind, dass sie keine Vorlagen ausgeben, können Sie alles mit der neuen Umgebung, den AIA-Standorten, der CRL-Verteilung usw. vereinbaren. Überprüfen Sie den Zustand aller Geräte mit dem Enterprise PKI-Snap-In.

Wenn Sie bereit sind, ändern Sie die Konfiguration der vorhandenen Zertifizierungsstelle, um die Ausstellung von Zertifikaten für bestimmte Vorlagen zu beenden. Sie beenden den Server noch nicht, sondern weisen ihn nur an, keine neuen Zertifikate mehr auszustellen. Fügen Sie dieselben Vorlagen zu den zulässigen Ausstellungsrichtlinien Ihrer neuen Umgebung hinzu.

Verwenden Sie dann die Option "Zertifikatsinhaber erneut registrieren" im Vorlagenverwaltungstool für die Vorlagen, für die Zertifikate vorhanden sind und die automatisch registriert werden (Benutzer-, Computer- und Domänencontroller-Zertifikate). Dadurch wird die Vorlagenversion gestoßen und sie erhalten ein neues Zertifikat aus der neuen Infrastruktur, wenn ihre automatische Registrierung pulsiert.

Dies wird Sie für diese Zertifikate abdecken, aber für Webserver-Zertifikate wird es leider ein manueller Prozess sein. Stellen Sie die einzelnen Zertifikate erneut aus und wechseln Sie die Listener zu den neuen Zertifikaten.

Wenn Sie ziemlich sicher sind, dass alle Zertifikate erneut ausgestellt wurden, lähmen Sie die alte Zertifizierungsstelle, entfernen Sie die Rolle jedoch noch nicht. Entfernen Sie alle AIA- oder CRL-Verteilungspunkte in der Konfiguration der Zertifizierungsstelle und löschen Sie dann die Dateien / Objekte von diesen Speicherorten (LDAP ist wahrscheinlich die wichtigste, aber auch http und smb müssen überprüft werden). Warten Sie einige Wochen auf Probleme. Wenn etwas kaputt geht, können Sie die gelöschten AIA / CRL-Punkte erneut hinzufügen und certutil -dspublishbei Bedarf erneut veröffentlichen ( ).

Wenn Sie zufrieden sind, dass die alte Zertifizierungsstelle nicht mehr verwendet wird, entfernen Sie die Rolle und bereinigen Sie Active Directory. Die AIA-, CRL- und Delta-CRLs müssen manuell gelöscht werden. Dies können Sie in der Option "AD-Container verwalten" im Enterprise-PKI-Snap-In durchführen.


Tolle Antwort, danke - das wird mich auf dem besten Weg bringen, dies zu erreichen. Außerdem habe ich letzte Nacht einige gute Nachrichten erhalten und festgestellt, dass der alte / vorhandene CA-Server voraussichtlich im November außer Betrieb genommen oder für andere Zwecke verwendet werden soll, was den Übergang erleichtern sollte.
Ewall

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.