Adicionando nova CA raiz / corporativa sem atrapalhar a existente?

Navegue suas respostas
6

Estou pensando em instalar uma nova estrutura de autoridade de certificação corporativa integrada ao AD, mas descobri que alguém já criou uma CA (usada principalmente para SSL em sites internos).

Eu quero construir a nova estrutura de acordo com as melhores práticas, criando uma raiz off-line, autorizando várias CAs subordinadas para tolerância a falhas, etc., mas não quero estragar o que já está em vigor. Aparentemente, você não pode transformar uma CA raiz em um subordinado, então isso está descartado.

Posso simplesmente instalar a nova raiz em outro lugar, sem tocar no já existente? (Ou talvez assinar de forma cruzada a CA existente com a autoridade da nova raiz?)

    
por ewall 02.06.2011 / 18:16

2 respostas

8

Tendo lidado com o mesmo cenário, aqui está uma visão geral da abordagem que tomei:

Coloque o novo ambiente em funcionamento, mas não dê a ele a capacidade de emitir certificados - use LoadDefaultTemplates=False em seu capolicy.inf.

Enquanto os dispositivos ainda estão configurados para não emitir nenhum modelo, leve tudo ao quadrado com o novo ambiente, locais AIA, distribuição de CRL, etc. Verifique a integridade de todos com o snap-in Enterprise PKI.

Depois, quando estiver pronto, altere a configuração da CA existente para interromper a emissão de certificados para determinados modelos. Você não está matando o servidor ainda, apenas dizendo para parar de emitir novos certificados. Adicione esses mesmos modelos às políticas de emissão permitidas do seu novo ambiente.

Em seguida, use a opção "reinscrever titulares de certificados" na ferramenta de gerenciamento de modelos para os modelos que possuem certificados e se registram automaticamente (certificados de usuário, computador e controlador de domínio). Isso aumentará a versão do modelo e fará com que eles coloquem um novo certificado da nova infraestrutura quando seus pulsos de registro automático ocorrerem.

Isso cobrirá você para essas certificações, mas para servidores web, infelizmente, será um processo manual. Reenvie para cada um deles e mude os ouvintes para os novos certificados.

Quando tiver certeza de que todos os certificados foram reemitidos, paralise a CA antiga, mas não a remova ainda. Faça algo ao longo das linhas de remover todos os pontos de distribuição AIA ou CRL na configuração da CA, excluindo os arquivos / objetos desses locais (o LDAP é provavelmente o principal, mas o http e o smb também precisam ser verificados). Espere por problemas por algumas semanas; quando algo quebrar, você poderá adicionar novamente os pontos de AIA / CRL que você excluiu e republicou novamente ( certutil -dspublish ), se necessário.

Quando estiver satisfeito de que nada está mais usando a antiga CA, remova a função e limpe o Active Directory. As CRLs AIA, CRLs e delta precisam de uma exclusão manual, que você pode fazer na opção "Gerenciar contêineres do AD" no snap-in Enterprise PKI.

    
por 02.06.2011 / 21:13
0

De acordo com este artigo: link A Microsoft permite isso, mas não o recomenda. Fomos confrontados com esta escolha que escolhemos para desligar o antigo servidor e começar de novo. uma das primeiras coisas que fizemos foi reemitir os certs naqueles que usam ativamente o SSL.

    
por 02.06.2011 / 19:56

Tags

BIND - conexão esgotada; nenhum servidor poderia ser alcançado Erro HTTP 500.19 - Erro interno do servidor no Windows 7 IIS