我在一家新公司做系统管理员。没有太多的人熟悉环境。我的任务是建立一个适当的CA。
我设置了两个服务器,一个离线根CA和一个加入域的从属CA。两个服务器都是Windows Server 2019。我将我的根设置为未加入域的离线根CA。在从属CA上安装根证书后,我打开mmc添加企业PKI管理单元来测试我的工作。这时我发现我的环境中已经有一个CA了!在我们之前的MSP似乎已经在我们的一个DC上安装了CA角色。它似乎也在颁发证书。
我不太确定如何处理这个问题。但是我有一些好主意。我想我应该备份这个发现的CA配置,并将配置导入到我的从属CA。另一个主意是启动第三个服务器,它将是我的脱机根目录的第二个从属服务器,然后将发现的CA的配置导入到第三个服务器。
我的目标是从域控制器中卸载ADCS角色,并使用AD建立新的CA设计,实际上是用我自己的实现替换发现的CA。处理此复杂过程的最佳方式是什么?
1条答案
按热度按时间ctehm74n1#
您无法重新命名CA。这表示您无法使用不同的名称进行备份和还原至其他服务器。
但是您可以做的是建立另一个CA,从属于您的根CA。一旦您的新CA经过测试并完全运行,请禁用旧CA上的所有模板,并在新CA上启用它们。
此时,您可能希望前任主管能够很好地掌握证书生命周期管理,并为您留下一份所有订户、证书到期时间和联系点等的列表。我怀疑CA安装在DC上,
certutil.exe
工具和/或一些PowerShell脚本可以帮助您从CA数据库中提取一些信息,如果您不这样做的话。I don“我不介意弄脏你的手。根据上述结果,您现在必须决定是尝试并强制所有订户使用新CA重新注册,还是让当前证书过期,订户在重新注册时必须使用新CA。根据证书允许的最长生存期,后一种情况可能需要一段时间。
只有在 * 所有 * 订阅者都移动到新CA后,才能从DC卸载角色。不要试图在更早的时候执行此操作,因为在最后一个订阅者迁移到新CA之前,CA仍需要颁发CRL。
另一种选择是从那个盒子里卸载DC,让它只是一个CA。但是,如果像大多数组织一样,你有一个服务器的命名标准,那么这将打破这一点,并引发每个管理员的内在OCD。