添加新的root / enterprise CA而不会干扰现有的CA?

Modified on: Mon, 19 Aug 2019 00:00:02 +0800

我正在考虑安装新的AD集成企业证书颁发机构结构,但发现有人已经创建了一个CA(主要用于内部网站上的SSL)。

我想根据最佳实践构建新结构,创建一个脱机根,授权几个从属CA以实现容错等,但我不想弄乱已经存在的内容。显然你无法将现有的根CA转变为下属,因此排除了。

我可以简单地在其他位置安装新根,而不是触及现有根吗? (或者可能使用新root权限对现有CA进行交叉签名?)

最佳答案

在处理了相同的场景之后,这里概述了我采用的方法:

启动并运行新环境,但不要赋予它任何颁发证书的能力 - 在capolicy.inf中使用LoadDefaultTemplates=False

虽然设备仍然设置为不发布任何模板,但是使用新环境,AIA位置,CRL分发等方式将所有模板都放在一边。使用Enterprise PKI管理单元检查所有模板的运行状况。

然后,当您准备好时,更改现有CA的配置以停止为某些模板颁发证书。你还没有杀死服务器,只是告诉它停止发布新的证书。将这些相同的模板添加到新环境的允许颁发策略中。

然后,在模板管理工具上使用“重新注册证书持有者”选项,以获取具有证书并自动注册的模板(用户,计算机和域控制器证书)。这会影响模板版本,并导致他们在自动注册脉冲时从新基础架构中获取新证书。

这将涵盖您的证书,但对于Web服务器证书,遗憾的是它是一个手动过程。为每个重新发布,并将监听器更改为新证书。

一旦你相当确信你已经重新颁发了所有证书,就会破坏旧的CA但是还没有删除该角色。做一些事情,删除CA配置中的所有AIA或CRL分发点,然后从这些位置删除文件/对象(LDAP可能是主要的,但http和smb也需要检查)。等待问题几个星期;当出现问题时,您可以重新添加已删除的AIA / CRL点,并在需要时重新发布(certutil -dspublish)。

一旦您对使用旧CA的任何内容感到满意,请删除该角色,然后清理Active Directory。 AIA,CRL和delta CRL需要手动删除,您可以在Enterprise PKI管理单元的“管理AD容器”选项中执行此操作。

作者:,Shane Madden

相关问答

添加新评论