码迷,mamicode.com
首页 > 其他好文 > 详细

迁移微软CA的证书 (1)

时间:2015-10-15 10:11:39      阅读:237      评论:0      收藏:0      [点我收藏+]

标签:ca   pki   迁移   

最近豆子需要清理一下公司的PKI服务器。由于历史原因,公司之前内网里面搭建了2台Enterprise Root级别的CA服务器,老板让我再搭建一个新的,然后把之前的2台处理掉。微软的AD环境里面是允许同时搭建多个PKI结构的,不过这样导致的后果就是可能客户端申请证书的时候会随机申请一个,这样的后果是很难管理的。


经过一番研究,发现一般的处理流程如下:

  1. 安装新的CA

  2. 旧的CA上卸载掉Certificate Template(证书模板),这样就不能继续签发新的证书

  3. 新的CA上添加对应的模板

  4. 对于手动签发的证书可以手动的更新

  5. 对于自动Enroll的证书可以通过ReEnroll指向新的CA,这里需要配置对应的组策略

  6. 重复4-5,直到所有的证书都成功修改替换,最后关掉旧的CA

  7. 如果需要立刻关掉旧的CA,需要考虑延长CRL的时间


首先搭建了一个模拟环境来试试


基本环境:

2012 R2 域控 DC1

2012 R2 证书服务器 CA2 (新的CA)

2008 R2 证书服务器 CA1  (旧的CA)

2008 R2  网页服务器 WEB1

Window 7 客户端 Win7


技术分享


实验流程:从CA1签发EFS证书 ,DomainController证书和 Web Server 证书,在对应的客户端进行配置; 然后安装CA2 为新的Root CA;手动更改证书到新的CA


接下来首先模拟签发的过程


首先在CA1上安装AD CS,过程略


安装成功以后可以通过IIS查看

技术分享


接下来配置EFS的证书,EFS可以允许用户加密自己的文档。


登录Win7 客户端,控制面板

技术分享


创建一个新的证书

技术分享


从域内的CA签发

技术分享


成功的从CA1签发

技术分享


技术分享


指定用这个证书加密的对象

技术分享


完成证书的创建以后,退回到C:\Confidential 文件夹,打开加密的选项

技术分享

可以看见这个文件夹变成绿色了,然后在里面创建一个新的文件,他会自动用证书加密。

技术分享



接下来,我需要创建一个DomainController的证书。登录到域控,从MMC添加Certificate SnapIn

然后发送一个证书请求

技术分享


技术分享


技术分享

选择需要的证书类型

技术分享

成功签发

技术分享



最后需要签发一个Web Server的证书。登录WEB1,打开IIS,Server Certificate里面可以进行请求

技术分享


具体的步骤略

技术分享


成功导入证书后,然后绑定证书到https

技术分享


现在已经成功的签发了 EFS, Domain和 Web Server的证书了。

技术分享


下一步我们来看看如何更新到CA2上。




参考资料:

1.http://blogs.technet.com/b/askds/archive/2010/08/23/moving-your-organization-from-a-single-microsoft-ca-to-a-microsoft-recommended-pki.aspx

2.http://blogs.technet.com/b/pki/archive/2012/01/27/steps-needed-to-decommission-an-old-certification-authority-without-affecting-previously-issued-certificates-and-then-switching-all-operations-to-a-new-certification-authority.aspx



迁移微软CA的证书 (1)

标签:ca   pki   迁移   

原文地址:http://beanxyz.blog.51cto.com/5570417/1703035

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!