在Windows Server 2012上创build和使用中级证书颁发机构?

背景:服务器操作系统是Windows Server 2012.在安装PowerShell时,GUI已经安装好了。 安装程序正在升级,而不是正在生产(还)。

我们已经安装了我们的(内部的,域限制的)根CA. 我想使根CA离线安全存储,但在此之前,我想设置一个中间的CA,可以接pipe实际的在线(int-RA-net)function

我怎么能做到以上? 我假设一个完整的答案将涵盖

  • 创build中间CA证书请求
  • 在域控制器上安装中间CA证书(现在已经与根CA在线安装的证书颁发机构angular色)
  • 使用中间CA生成证书(任何使用证书,仅用于演示目的)

很明显,这个authentication链在我们域以外的计算机上是无效的(自信的根 – 我们的根证书不是来自普通的第三方)。 最后一点不是问题。

我最近经历了从企业在线根CA到两级PKI的过程。 一般来说,您要遵循的stream程将包含以下步骤:

  1. configuration将不会join您的域的服务器并安装Active Directory证书服务。 将其configuration为独立的脱机根证书。
  2. 将您的根CA发布到森林。
  3. 在线提供第二台服务器并join域。 将其configuration为您的中间证书颁发机构。
  4. 从您的中级CA创build一个CSR,并从您的脱机根CA颁发证书。
  5. 将证书模板迁移到新的中间CA,并从原始PKI中删除模板。 (这只会开始从您的中级CA颁发新证书而不会使您的原始CA颁发的证书失效。)
  6. 从这里开始,您可以决定放弃旧的CA,直到所有的证书过期,或者通过强制networking系统重新注册新的PKI。

微软的目录服务团队对此有一个很好的高层次的演练。

更多深入的信息, 这里是我所遵循的演练。

另外, 这里是一个Technet指南和一些关于这个过程的计划信息 。