Как мигрировать с Online Enterprise CA на Offline Standalone CA?

Question

[Seli_one]

Здравствуйте коллеги.
Столкнулся с такой проблемой:
В компании имеется один Online Enterprise CA, насколько я понимаю сие не совсем правильно с точки зрения безопасности, отсюда задача развернуть Offline Standalone CA и подчинённый Online Enterprise CA.
Убивать имеющийся СА я не горю желанием. Может кто уже сталкивался с подобной задачей или знает где почитать как это можно реализовать, буду благодарен.
Спасибо.

Answer 1

[Роман Безруков]

ИМХО, самый правильный вариант в данном случае - это развернуть с нуля новую PKI-структуру в нужной вам конфигурации.

Comments

[MVV]

Поддерживаю. Теоретически я вижу более хитрые пути миграции, но они не докуметированы, и какие на них грабли разложены - неочевидно.
Но главное, при развертывании инфраструктуры с нуля почти ничего не теряется, уже сертификаты продолжат действавать, если старый сертификат CA не удалять из AD (или с клиентов, если он распространялся на них непосредственно). Проблемы могут быть, разве что, при чрезмерно ранннем выводе старого CA из эксплуатации - с OCSP (если используется) и отзывом уже выпущенных сертификатов(если вдруг надо).

[Seli_one]

Доброго времени Вам.
Не уверен что правильно Вас понял. Т.е. мне параллельно необходимо развернуть необходимую мне структуру PKI, после чего вывести старый СА. Вопрос собственно когда выводить старый?

[Роман Безруков]

Seli_one, да - разворачиваете новую PKI рядом с существующей...
если укрупненно, то как-то так:
1. развернуть новую PKI
2. распространить новые корневой и промежуточный сертификаты
3. выпустить новые сертификаты для КД, для пользователей и компьютеров (через autoenrollment)
4. выпустить новые сертификаты для веб-серверов, сервисов и т.д. на замену старым сертификатам
5. проверяем работу служб и сервисов. Тут можно отозвать соответствующие старые сертификаты и удалить их с конечных серверов, после чего проверять работу с новыми сертификатами
6. выключить и удалить старый ЦС, проверить, что в AD не осталось следов от него

Вот этого товарища настоятельно рекомендую к прочтению
ну и инструкция - Test Lab Guide: Deploying an AD CS Two-Tier PKI Hi...

[Seli_one]

Роман Безруков, Огромное Вам спасибо, попробую в тестовой среде провернуть сие.