Crie e use a autoridade de certificação intermediária no Windows Server 2012?

1

Plano de fundo: o SO do servidor é o Windows Server 2012. A GUI é instalada quando chegamos à velocidade com o powershell. A instalação é temporária, não produção (ainda).

Temos nossa CA raiz (interna, limitada por domínio) instalada. Gostaria de colocar a CA raiz offline para proteger o armazenamento, mas antes disso eu gostaria de configurar uma CA intermediária que possa assumir a funcionalidade real ao vivo, online (int-RA-net)

Como posso fazer o acima? Eu suponho que uma resposta completa cobriria

  • criando a solicitação de certificado de CA intermediária
  • instalando o certificado de CA intermediário no controlador de domínio (função de autoridade de certificação já instalada com a CA raiz on-line agora)
  • use a CA intermediária para gerar um certificado (qualquer certificado de uso, apenas para fins de demonstração)

Obviamente, essa cadeia de certificação seria inválida em computadores fora de nosso domínio (raiz confiável - nosso certificado raiz NÃO é de terceiros). Este último ponto NÃO é um problema.

    
por DeepSpace101 07.09.2012 / 22:17

1 resposta

5

Recentemente, passei pelo processo de migração de uma CA raiz do Enterprise Online para uma PKI de dois níveis. Geralmente, o processo que você deseja seguir conterá estas etapas:

  1. Provisione um servidor que não será unido ao seu domínio e Instale os Serviços de Certificados do Active Directory. Configure-o como um certificado raiz offline autônomo.
  2. Publique sua autoridade de certificação raiz na floresta.
  3. Provisione um segundo servidor online e um domínio associado. Configure isso como sua autoridade de certificação intermediária.
  4. Crie um CSR a partir de sua CA intermediária e passe pelo processo de emissão de um certificado de sua autoridade de certificação raiz off-line.
  5. Migre os modelos de certificado para a nova CA intermediária e remova os modelos da sua PKI original. (Isso só começará a emitir novos certificados de sua CER intermediária que NÃO invalida os certificados emitidos de sua autoridade de certificação original.)
  6. A partir daqui, você pode decidir deixar sua autoridade de certificação antiga até que todas as certs expirem ou passem pelo processo de forçar seus sistemas de rede a se reinscreverem na nova PKI.

A equipe de serviços de diretório da Microsoft tem um bom passo a passo de alto nível para isso.

Para informações mais detalhadas, aqui está o passo a passo que eu segui.

Além disso, aqui está um Guia de Technet e alguns planning de informações sobre o processo .

    
por 15.07.2014 / 01:36