我正在退休一个旧的Windows集成CA,并在线一个新的,正确configuration的(实际上是几个)。 我们的大部分系统都无法使用EFS,这要归功于组策略…但是由于configuration错误,一些域用户能够自动注册EFS证书。 到目前为止,没有一个用户知道他们已经encryption的文件,用cipher /u /nsearch他们的文件没有find任何东西……但我不能确定没有encryption文件错过。
我必须很快退休,所以我必须撤销EFS证书,并确保EFS完全禁用这些用户。 我真的不能将旧的CA迁移到新的,原因有几个。 那么,我可以select什么方法来closures那些可能使用过EFS而不会丢失数据的人?
起初我以为你会想创build一个域恢复代理 。 然后我被提醒(我不能确认这一点),我相信DRA只适用于恢复在代理创build后encryption的encryption文件。 另外,吊销证书可能会使问题复杂化。 但是,请考虑您可以使用域恢复代理执行的操作。
但是,它确实显示出你已经做了一切合理的事情来辨别是否有文件被encryption。 获取所有已经颁发证书的用户列表,确保他们了解将要发生的事情,让他们签署确认情况并由经理亲眼目睹的文档。 然后,拉动销子,让旧的CA浮出海面。
进一步的研究表明, 只要用户具有证书 , EFS证书将继续读取任何encryption的文件,即使证书被吊销,CA也被退役 。
用户在证书撤销后不能做的事情是(重新)encryption任何我们不希望他们做的文件。
因此,我不必使用CRL签名或其他策略来保持旧的CA生命支持; 它现在已经完全退役,用户(以及他们之前可能已经encryption的任何文件)完好无损。
(如果这些用户帐户需要迁移到林中的另一个域,那么PS I可能最终会有问题,因为旧的EFS证书可能不会被迁移…)