我想要一个从旧的独立CA到企业CA的和平过渡。 我打算在完成此过程后离线服务器。
我的思考过程是在独立的CA上发布一个长窗口的CRL,并停止证书服务。 从这里我想我应该能够简单地停止证书服务,并build立我的企业CA,就好像独立的框不存在一样。
我意识到在这样做的时候,我将无法撤消现有的独立服务器上的证书,并且最终需要将对旧证书服务器的引用从Active Directory中提取出来。
有没有我应该知道去这条路线和/或一个更清洁的selecthangups? 我特别担心在AD中有两个授权的CA。
我意识到,这个问题可能涵盖了一些与前面的问题相同的理由,但我并不想让我的旧服务器在线。
在使用企业从属CA构build脱机根CA时,通常需要设置较长的validation期限,以便您不必经常启动以重新颁发Sub CA的证书。
也就是说,您可以简单地将企业CA颁发给由所有人都信任的根签署的从属CA证书。 将根CA的证书和CRL导入AD,你应该很好。 您应该在您方便的时候重新签发由企业CA单机颁发的证书。 微软在这里configuration这些不同的场景有相当详细的指导
如果没有企业CA,你不能使用自动注册,所以我不确定你为什么会担心离线“发布”。 您可能只想在AD网站和服务中进行validation – 在服务 – >公钥服务 – >注册服务下,在安装完成后只列出企业CA。