Создать и использовать промежуточный центр сертификации в Windows Server 2012?

Question

Создать и использовать промежуточный центр сертификации в Windows Server 2012?

Справочная информация: Серверная ОС - это Windows Server 2012. Графический интерфейс пользователя устанавливается по мере приближения к PowerShell. Настройка идет постановка, а не производство (пока).

У нас установлен (внутренний, ограниченный доменом) Root CA. Я хотел бы перевести Root CA в автономный режим для обеспечения безопасности хранилища, но перед этим я хотел бы установить промежуточный CA, который может использовать реальную оперативную, онлайн (int-RA-net) функциональность

Как я могу сделать выше? Я предполагаю, что полный ответ будет охватывать

создание промежуточного запроса сертификата CA
установка промежуточного сертификата CA на контроллере домена (роль центра сертификации уже установлена с Root CA онлайн сейчас)
использовать промежуточный ЦС для создания сертификата (любой сертификат использования, только для демонстрационных целей)

Очевидно, что эта цепочка сертификации будет недействительной на компьютерах вне нашего домена (корень, которому мы доверяем, - наш корневой сертификат НЕ от сторонних производителей). Этот последний пункт НЕ является проблемой.

1

windows-server-2012 certificate-authority

Источник

DeepSpace101 07 сен '12 в 20:17

1 ответ

Другие вопросы по тегам windows-server-2012 certificate-authority

Byron C. 14 июл '14 в 23:36 2014-07-14 23:36 · Answer 1 · 2014-07-14 23:36

Недавно я прошел процесс перехода от корпоративного корневого ЦС к двухуровневой PKI. Обычно процесс, который вы хотите выполнить, будет содержать следующие шаги:

Подготовьте сервер, который не будет присоединен к вашему домену, и установите службы сертификации Active Directory. Настройте его как автономный корневой сертификат.
Опубликуйте свой Root CA в лесу.
Предоставление второго сервера онлайн и присоединение к домену. Настройте это как ваш промежуточный центр сертификации.
Создайте CSR из своего промежуточного CA и пройдите процедуру выдачи сертификата из своего автономного корневого CA.
Перенесите шаблоны сертификатов в новый промежуточный центр сертификации и удалите шаблоны из исходной PKI. (Это только начнет выдавать новые сертификаты от вашего промежуточного CA. НЕ аннулирует сертификаты, выданные вашим оригинальным CA.)
Отсюда вы можете решить оставить свой старый ЦС до истечения срока действия всех сертификатов или пройти через процесс принудительного повторного подключения ваших сетевых систем к новой PKI.

Команда службы каталогов в Майкрософт имеет хорошее руководство для этого.

Для получения более подробной информации, вот пошаговое руководство, за которым я следовал.

Кроме того, здесь есть Техническое руководство и некоторая информация о планировании процесса.