Migrando de uma CA independente para uma CA corporativa

Question

Migrando de uma CA independente para uma CA corporativa

#1 resposta do (3 votos)

2

Eu quero uma transição pacífica de uma CA autônoma antiga para uma CA corporativa. Estou pretendendo desligar o servidor após a conclusão deste processo.

Meu processo de pensamento é publicar uma CRL com uma janela longa na autoridade de certificação autônoma e interromper os serviços de certificado. A partir daqui, estou pensando que eu deveria ser capaz de simplesmente interromper os serviços de certificado e criar minha CA corporativa como se a caixa autônoma não existisse.

Sei que, ao fazer isso, não poderei revogar certificados no meu servidor autônomo existente e, eventualmente, precisar puxar a referência para o meu servidor de certificados antigo do Active Directory.

Há alguma suspeita que eu deveria estar ciente de ir por esse caminho e / ou uma alternativa mais limpa? Eu estou especificamente preocupado em ter duas caixas como CAs autorizadas no AD.

Eu percebo que essa questão pode cobrir alguns dos mesmos motivos que esta pergunta anterior mas não estou querendo manter meu servidor antigo online.

certificate certificate-authority ad-certificate-services

por Tim Brigham 06.12.2011 / 23:25

1 resposta

Tags certificate certificate-authority ad-certificate-services

Como eu faço keypairs de SCP de uma instância do Amazon EC2 para outra? O Mitel 3300 suporta o entroncamento SIP direto?

score 3 · Accepted Answer

Ao criar uma autoridade de certificação raiz offline com uma autoridade de certificação subordinada corporativa, é comum configurar a raiz com um longo período de validação para que você não precise inicializá-la com frequência para emitir novamente o certificado da autoridade de certificação secundária. br> Dito isto, você poderia simplesmente emitir a autoridade de certificação corporativa um certificado de autoridade de certificação subordinada assinado pela raiz em que todos já confiam. Importe o certificado e a CRL da CA raiz para o AD e você deve estar pronto. Você deve, quando desejar, reemitir certificados emitidos pelo autônomo na CA corporativa. A Microsoft tem diretrizes bastante detalhadas para configurar esses diferentes cenários aqui

Você não pode usar a inscrição automática sem uma CA corporativa, por isso não sei por que estaria preocupado em ter o "publicado" off-line. Você pode querer apenas verificar em AD Sites & Serviços - em Serviços - > Serviços de chave pública - > Serviços de registro que somente a CA corporativa é listada após a conclusão da instalação.