Задать вопрос
Axel_L
@Axel_L
помощник сисадмина
системное-администрирование

Можно ли обновить сертификат подчиненного ЦС, без потери валидности уже выданных им сертификатов?

Приветствую товарищи!

Собственно ситуация. В доменной сети имеется следующая структура PKI:
ebb0ed5d0fbb4bfdaf31d9936b6ee734.PNG

первые два ЦС были по стечению обстоятельств утеряны безвозвратно, пока их функции выполняют подчиненные ЦС другой площадки, но! Как видно из рисунка на них имеется предупреждение о истечении срока действия сертификата. Соответственно нужно запрашивать новый сертификат у Корневого ЦС.

после запроса сертификата у Корневого ЦС:
1. Останутся ли валидными те сертификаты, которые уже были выданы компьютерам и пользователям? (запрашивать планирую на старую пару ключей)
2. Будет обновлен уже выданный сертификат, или произойдет выдача нового и отзыв старого сертификатов?

Читал руководства по обновлению, было не совсем понятно по судьбе уже выданных сертификатов. Понял, что при генерации сертификата из новой ключевой пары, надо будет отзывать старые (опять таки, не совсем ясно, они будут отозваны после выдачи новых, или же новые получат после отзыва).

P.S. В сети развернута система, которая по валидности сертификата допускает ПК в локальную сеть, как только сертификат перестает быть валидным ПК из сети выпадает. Поэтому после отзыва старых сертификатов без выдачи новых, система превращаюет автоматически все ПК в тыкву
  • Вопрос задан
  • 2026 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
Axel_L
@Axel_L Автор вопроса
помощник сисадмина
В общем вопрос решил. Запросил у корневого ЦС сертификат, используя старую пару ключей. Запрос делал через оснастку "Центр сертификации".

Кстати, часть компьютеров автоматически поменяла сертификат (скорее просто по истечению срока старого автоматом запросил новый, как раз после обновления сертификата центра), но часть компьютеров оставалась со старым сертификатом (эти компьютеры делали запрос до обновления сертификата подчиненного ЦС). Чтобы назначить им обновленный сертификат "ручками", а не ждать повторного запроса от них, надо перейти в оснастку
"Центр сертификации" -> Неудачные запросы, в поле "Код состояния" будет сообщение о том, что сертификат для компьютера не выдан из-за срока выдачи, больше чем срок валидности самого сертификата (точное описание не помню, шаблон выдачи должен быть "Компьютер" или "Machine"). Выделить все запросы с таким кодом, и в контекстном меню выбрать: Все задачи -> Выдать. После этого будет выдан обновленный сертификат
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Саппорт в команду
MST
от 500 $
Пентестер, аудит Active Directory, инфраструктура
AppSec Solution
от 100 000 до 120 000 ₽
Системный администратор
Wanted. Санкт-Петербург
До 100 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Автоматизация отправки и верификации кода на почту по url
01 февр. 2025, в 01:30
6000 руб./за проект
Написать бота используя за основу указанный github ( solana/pumpfun)
01 февр. 2025, в 00:22
5000 руб./за проект
Подготовка датасета на Python для обучения модели
31 янв. 2025, в 21:36
5000 руб./за проект
Ещё заказы