Миграция на двухуровневую PKI (Microsoft)

Question

Миграция на двухуровневую PKI (Microsoft)

В настоящее время у меня есть один онлайн-рут-центр предприятия (и выдающий сертификаты - шаблоны по умолчанию), который установлен на DC (да, да, я знаю, в худшем случае). Я установил еще один автономный режим, не присоединенный к серверу домена, 2 сервера IIS под LB и 2 корпоративных сервера выдачи, и мне нужно несколько ответов, прежде чем я продолжу:

ПРИМЕЧАНИЕ. Конечная цель - ЗАМЕНИТЬ, а не переносить текущий набор / сертификаты.

1) Текущее общее имя CA (не имя сервера) - example-root-ca. Могу ли я присвоить новому корню CA автономного сервера такое же общее имя при установке роли CA? Повлияет ли это как-то на текущие сертификаты? Должен ли я использовать новое имя и почему?

2) Установка нескольких подчиненных серверов выдачи, опять же, когда вы настраиваете роль ЦС, он также запрашивает общее имя - поэтому 2 сервера должны использовать одно и то же общее имя? или хорошо, что у них разные общие имена (или даже, насколько я помню, они должны быть уникальными)? - В таком случае я думаю о том, как клиент получит сертификат? некоторые получат с сервера один, а некоторые с сервера 2? Что будет, когда они попытаются продлить?

1

certificate-authority pki microsoft

Источник

user491190 09 окт '18 в 11:27

1 ответ

Другие вопросы по тегам certificate-authority pki microsoft

garethTheRed 09 окт '18 в 13:12 2018-10-09 13:12 · Answer 1 · 2018-10-09 13:12

я могу дать новому корню автономного сервера CA то же самое общее имя при установке роли CA? Повлияет ли это как-то на текущие сертификаты?

Вы можете повторно использовать то же имя для корневого ЦС, если хотите. Поскольку открытый / закрытый ключ будет отличаться, сертификат будет фактически отличаться независимо от того, является ли имя одинаковым или нет. Поскольку это автономный корневой ЦС, в AD не будет никаких столкновений с чем-либо (что может быть в случае, если это было также присоединено к домену). Кроме того, управлять двумя корневыми сертификатами CA с одинаковыми именами субъектов будет немного сложнее, просто потому, что будет сложнее провести различие между ними, не обращая внимания на действительные даты и даты.

так 2 сервера должны использовать одно и то же общее имя?

Имена выдающего CA должны быть уникальными. Обратите внимание, что наличие двух выдающих ЦС не даст вам никакой формы распределения нагрузки. Вы просто получите два выпускающих CA. Можно утверждать, что у вас будет какая-то форма переключения при сбое в том смысле, что, если один не работает, другой может обслуживать запросы.

В таком случае я думаю о том, как клиент получит сертификат? некоторые получат с сервера один, а некоторые с сервера 2?

Если у вас есть несколько выдающих ЦС, пользователь получит выбор, в какой ЦС он хочет отправить запрос. Список будет из AD и не изменится, если один из CA не работает. Таким образом, если пользователь выбирает CA, который оказывается в автономном режиме, запрос просто не будет выполнен.

Автоматически зарегистрированные сертификаты будут выбирать любой из центров сертификации, для которых включен шаблон. Я не уверен в том, что процесс принятия решения о том, какой CA следует использовать, если более чем у одного включен шаблон; однако я, кажется, вспоминаю, что тот, у которого был включен шаблон, позже, похоже, получил запрос, но я не проверил достаточно тщательно, чтобы быть уверенным.