DirectAccess e renovando o SSL com o novo PKI?

Question

DirectAccess e renovando o SSL com o novo PKI?

#1 resposta do (0 votos)

1

Nós implantamos o DirectAccess em nossa rede para nossos clientes Windows 7/10, o que funciona muito bem. O problema é que os certificados de cliente / servidor DA são baseados em uma PKI interna que estamos aposentando; nós criamos outro PKI (dual-layer, offline rootca e subordinado ca) para o qual estamos migrando todos os nossos certificados.

O problema que tenho é migrar nossa infraestrutura de DA para o novo PKI. Eu precisarei emitir um novo modelo de certificado de computador para os computadores clientes (junto com o certificado de computador antigo para manter seus recursos de DA existentes); depois que todos os clientes tiverem um certificado de computador da nova PKI, atualizarei o certificado no servidor DA.

A questão (ou falta de conhecimento) que estou tendo é o que acontece então? Os clientes poderão se reconectar ao servidor DA usando os novos certificados emitidos pela nova PKI?

Ou isso vai quebrar mal até que eles estejam na rede para receber o GPUPDATE mais recente.

Alguém que passa por algo assim quer compartilhar sua experiência? Qual é o meu melhor curso de ação?

windows active-directory certificate-authority direct-access pki

por exxoid 18.12.2016 / 03:30

1 resposta

Tags windows active-directory certificate-authority direct-access pki

Não é possível criar novas preferências de política de grupo Atualizando o CRM 2013 para 2015

score 0 · Answer 1

Se você estiver migrando para uma hierarquia de PKI inteiramente nova (em oposição à emissão de uma nova autoridade de certificação subordinada em uma hierarquia existente), isso será prejudicial para clientes que estejam fora da rede quando você fizer essa alteração. Assim que você especificar a nova CA raiz no console de Gerenciamento de Acesso Remoto, todas as conexões atuais do cliente DirectAccess serão descartadas. A única maneira de restabelecer as conexões será retornar à rede interna e atualizar a política de grupo. Como alternativa, os clientes remotos podem se conectar à VPN e atualizar a política de grupo. Se você quiser migrar a PKI sem interrupção, precisará implantar uma instância separada do DirectAccess configurada para usar a nova PKI. Em seguida, você pode migrar os clientes da antiga para a nova implantação do DirectAccess e aposentar a antiga após todos terem sido migrados com êxito.

Deixe-me saber se você tem alguma dúvida adicional! :)

- Rich