Crie e use a autoridade de certificação intermediária no Windows Server 2012?

Question

Crie e use a autoridade de certificação intermediária no Windows Server 2012?

#1 resposta do (5 votos)

1

Plano de fundo: o SO do servidor é o Windows Server 2012. A GUI é instalada quando chegamos à velocidade com o powershell. A instalação é temporária, não produção (ainda).

Temos nossa CA raiz (interna, limitada por domínio) instalada. Gostaria de colocar a CA raiz offline para proteger o armazenamento, mas antes disso eu gostaria de configurar uma CA intermediária que possa assumir a funcionalidade real ao vivo, online (int-RA-net)

Como posso fazer o acima? Eu suponho que uma resposta completa cobriria

criando a solicitação de certificado de CA intermediária
instalando o certificado de CA intermediário no controlador de domínio (função de autoridade de certificação já instalada com a CA raiz on-line agora)
use a CA intermediária para gerar um certificado (qualquer certificado de uso, apenas para fins de demonstração)

Obviamente, essa cadeia de certificação seria inválida em computadores fora de nosso domínio (raiz confiável - nosso certificado raiz NÃO é de terceiros). Este último ponto NÃO é um problema.

windows-server-2012 certificate-authority

por DeepSpace101 07.09.2012 / 22:17

1 resposta

Tags windows-server-2012 certificate-authority

Shredding data em um servidor live Por que não consigo alterar o modo / proc / sys / kernel / pty / max mesmo quando sou root?

score 5 · Answer 1

Recentemente, passei pelo processo de migração de uma CA raiz do Enterprise Online para uma PKI de dois níveis. Geralmente, o processo que você deseja seguir conterá estas etapas:

Provisione um servidor que não será unido ao seu domínio e Instale os Serviços de Certificados do Active Directory. Configure-o como um certificado raiz offline autônomo.
Publique sua autoridade de certificação raiz na floresta.
Provisione um segundo servidor online e um domínio associado. Configure isso como sua autoridade de certificação intermediária.
Crie um CSR a partir de sua CA intermediária e passe pelo processo de emissão de um certificado de sua autoridade de certificação raiz off-line.
Migre os modelos de certificado para a nova CA intermediária e remova os modelos da sua PKI original. (Isso só começará a emitir novos certificados de sua CER intermediária que NÃO invalida os certificados emitidos de sua autoridade de certificação original.)
A partir daqui, você pode decidir deixar sua autoridade de certificação antiga até que todas as certs expirem ou passem pelo processo de forçar seus sistemas de rede a se reinscreverem na nova PKI.

A equipe de serviços de diretório da Microsoft tem um bom passo a passo de alto nível para isso.

Para informações mais detalhadas, aqui está o passo a passo que eu segui.

Além disso, aqui está um Guia de Technet e alguns planning de informações sobre o processo .