Как мигрировать с Online Enterprise CA на Offline Standalone CA?

Question

Seli_one @Seli_one

Windows Server

Как мигрировать с Online Enterprise CA на Offline Standalone CA?

Здравствуйте коллеги.
Столкнулся с такой проблемой:
В компании имеется один Online Enterprise CA, насколько я понимаю сие не совсем правильно с точки зрения безопасности, отсюда задача развернуть Offline Standalone CA и подчинённый Online Enterprise CA.
Убивать имеющийся СА я не горю желанием. Может кто уже сталкивался с подобной задачей или знает где почитать как это можно реализовать, буду благодарен.
Спасибо.

Вопрос задан 09 апр. 2024
76 просмотров

Комментировать

Подписаться 1 Сложный Комментировать

Пригласить эксперта

Ответы на вопрос 1

4 комментария

MVV @mvv-rus

Поддерживаю. Теоретически я вижу более хитрые пути миграции, но они не докуметированы, и какие на них грабли разложены - неочевидно.
Но главное, при развертывании инфраструктуры с нуля почти ничего не теряется, уже сертификаты продолжат действавать, если старый сертификат CA не удалять из AD (или с клиентов, если он распространялся на них непосредственно). Проблемы могут быть, разве что, при чрезмерно ранннем выводе старого CA из эксплуатации - с OCSP (если используется) и отзывом уже выпущенных сертификатов(если вдруг надо).

Написано 09 апр. 2024
Seli_one @Seli_one Автор вопроса

Доброго времени Вам.
Не уверен что правильно Вас понял. Т.е. мне параллельно необходимо развернуть необходимую мне структуру PKI, после чего вывести старый СА. Вопрос собственно когда выводить старый?

Написано 10 апр. 2024
Роман Безруков @NortheR73

Seli_one, да - разворачиваете новую PKI рядом с существующей...
если укрупненно, то как-то так:
1. развернуть новую PKI
2. распространить новые корневой и промежуточный сертификаты
3. выпустить новые сертификаты для КД, для пользователей и компьютеров (через autoenrollment)
4. выпустить новые сертификаты для веб-серверов, сервисов и т.д. на замену старым сертификатам
5. проверяем работу служб и сервисов. Тут можно отозвать соответствующие старые сертификаты и удалить их с конечных серверов, после чего проверять работу с новыми сертификатами
6. выключить и удалить старый ЦС, проверить, что в AD не осталось следов от него

Вот этого товарища настоятельно рекомендую к прочтению
ну и инструкция - Test Lab Guide: Deploying an AD CS Two-Tier PKI Hi...

Написано 10 апр. 2024
Seli_one @Seli_one Автор вопроса

Роман Безруков, Огромное Вам спасибо, попробую в тестовой среде провернуть сие.

Написано 10 апр. 2024