Добавление нового корневого / корпоративного ЦС без нарушения существующего?
Я смотрю на установку новой структуры центра сертификации предприятия, интегрированной в AD, но обнаружил, что кто-то уже создал CA (в основном используется для SSL на внутренних веб-сайтах).
Я хочу построить новую структуру в соответствии с лучшими практиками, создав автономный корень, предоставив полномочия нескольким подчиненным ЦС на отказоустойчивость и т. Д., Но я не хочу портить то, что уже имеется. Очевидно, вы не можете превратить существующий корневой CA в подчиненного, так что это исключено.
Можно ли просто установить новый рут в другом месте, не касаясь существующего? (Или, может быть, перекрестная подпись существующего CA с полномочиями нового root?)
2 ответа
Разобравшись с тем же сценарием, вот обзор подхода, который я выбрал:
Настройте и запустите новую среду, но не позволяйте ей выдавать сертификаты - используйте LoadDefaultTemplates=False в вашем capolicy.inf.
Хотя устройства по-прежнему настроены на то, чтобы не выдавать никаких шаблонов, соберите все с нуля с помощью новой среды, местоположений AIA, распределения CRL и т. Д. Проверьте работоспособность всех с помощью оснастки Enterprise PKI.
Затем, когда вы будете готовы, измените конфигурацию существующего ЦС, чтобы прекратить выпуск сертификатов для определенных шаблонов. Вы еще не убиваете сервер, просто приказываете прекратить выпуск новых сертификатов. Добавьте эти же шаблоны в разрешенные политики выдачи вашей новой среды.
Затем используйте параметр "повторно зарегистрировать владельцев сертификатов" в инструменте управления шаблонами для шаблонов, которые имеют сертификаты и имеют автоматическую регистрацию (сертификаты пользователя, компьютера и контроллера домена). Это увеличит версию шаблона и заставит их получить новый сертификат из новой инфраструктуры, когда их автоматическая подача заявок будет выполнена.
Это покрывает вас за эти сертификаты, но для сертификатов веб-сервера, к сожалению, это будет ручной процесс. Переиздайте для каждого и поменяйте слушателей на новые сертификаты.
Если вы уверены, что все сертификаты переизданы, нанесите урон старому ЦС, но пока не удаляйте роль. Сделайте что-то вроде удаления всех точек распространения AIA или CRL в конфигурации CA, затем удалите файлы / объекты из этих расположений (LDAP, вероятно, является основным, но http и smb тоже нуждаются в проверке). Ждите проблем в течение нескольких недель; когда что-то ломается, вы можете повторно добавить удаленные точки AIA/CRL и повторно опубликовать (certutil -dspublish) если нужно.
Как только вы убедитесь, что старый CA больше не используется, удалите роль, а затем очистите Active Directory. AIA, CRL и дельта-CRL необходимо удалить вручную, что можно сделать с помощью параметра "Управление контейнерами AD" в оснастке Enterprise PKI.
Согласно этой статье: http://thedailyreviewer.com/server/view/multiple-enterprise-certificate-authorities-10276898 Microsoft разрешает это, но не рекомендует. Мы столкнулись с этим выбором, мы решили отключить старый сервер и начать все сначала. Одним из первых, что мы сделали, было перевыпуск сертификатов для тех, кто активно использует SSL.