我们在我们的networking中部署了DirectAccess,用于Windows 7/10客户端,这非常棒。 问题是,DA服务器/客户端证书是基于我们正在退役的内部PKI; 我们已经构build了另一个PKI(两层,离线rootca和从属ca),我们正在将所有证书迁移到其中。
我的问题是将我们的DA基础设施迁移到新的PKI。 我将需要向客户端计算机发放一个新的计算机证书模板(与旧计算机证书一起保留其现有的DAfunction); 那么一旦所有的客户端都有来自新的PKI的计算机证书,我将更新DA服务器上的证书。
我遇到的问题(或缺乏知识)是什么? 客户能否使用新的PKI颁发的新证书重新连接到DA服务器?
或者,这会打破严重,直到他们在networking上获得最新的GPUPDATE。
任何人经历过这样的事情都想分享他们的经验? 我最好的行动是什么?
如果您要迁移到全新的PKI层次结构(而不是从现有层次结构中的新的从属CA颁发),则在进行此更改时,这将对networking外部的客户端造成干扰。 只要在远程访问pipe理控制台中指定新的根CA,所有当前的DirectAccess客户端连接都将被删除。 重新build立连接的唯一方法是回到内部networking和更新组策略。 或者,远程客户端可以连接VPN并更新组策略。 如果您想不中断迁移PKI,则必须部署单独的DirectAccess实例,以configuration为使用新的PKI。 然后,您可以将客户端从旧迁移到新的DirectAccess部署,并在所有人成功迁移后退出旧客户端。
如果您还有其他问题,请告诉我! 🙂
– 丰富