none
Jak přepnout používanou certifikační autoritu integrovanou v AD, na jinou nově nainstalovanou na serveru W 2008 R2

    Dotaz

  • Doména 2008 R2, několik doménových kontrolerů. Ve virtuálním prostředí nainstalována kořenová CA, podřízená CA je nainstalována na doménovém kontroleru. Nyní nainstalována jiná CA ( ne na DC), ve virtuálu, která je podřízena kořenové CA. Všechny podřízené Ca jsou integrovány v AD. Co udělat aby původní CA byla vyřazena z funkce, tj. přestala vydávat certifikáty a certifikáty byly automaticky vydávany novou CA ?
    úterý 6. září 2011 11:37

Odpovědi

  • Ok. Takze postup by bol nasledovny :

     

    1. Na novej CA vypublikujte sablony tych certifikatov, ktore ma vydavat.

    2. Tato informacia sa zapisuje do AD, preto pockajte, kym sa zmeny nezreplikuju na VSETKY DC CELEHO FORESTU.

    3. Na starej (povodnej) CA potom odoberte vsetky sablony certifikatov, ktore vydavala. Opat vyckajte na replikaciu napriec celym forestom.

    4. Certifikaty, ktore ste zo starej (povodnej) CA ziskali manualne (typicky Web Server), budete musiet vymenit taktiez manualne.
      Typicky napriklad Web Servre - na kazdom jednom vyziadat novy certifikat, ktory dostanete z novej CA, lebo povodna CA uz ma odobrate sablony, a nasledne zaktualizovat konfiguraciu webu (povodny certifikat mozete zmazat).

    5. Certifikaty, ktore ziskali klienti automaticky (Certificate Autoenrollment cez GPO), vymenite pohodlne automaticky. (Pri startup / logon procese alebo nasledne raz za 8 hodin).
      V MMC konzole "Certificate Templates" kliknite pravym tlacidlom na sablonu certifikatu, ktoru distribuujete formou Certificate Autoenrollment mechanizmu, a zvolte "Reenroll All Certificate Holders". Podmienkou je, aby v GPO, ktora konfiguruje Certificate Autoenrollment - teda v Certificate Services Client - Auto-Enrollment Properties (v Computer Configuration pre PC ucty, v User Configuration pre uzivatelske ucty) musi byt zaskrtnute "Update certificates that use certificate templates".

    6. Na povodnej CA nastavte dobu expiracie CRL na napr. 2 roky (pisete, ze mate certifikaty, ktore expiruju v roku 2012 - teda ak nastavite CRL na 2 roky, CRL vyexpiruje v roku 2013 - to by malo stacit). Nasledne vypublikujte CRL (AD/HTTP). Tym padom budete moct vypnut CA a odinstalovat ju - nebude nevyhnutne ju udrizavat kvoli CRL.

      SAMOZREJME, TENTO KROK JE OK LEN V PRIPADE, ZE NEBUDETE POTREBOVAT ZAMIETNUT NIEKTORY Z TYCHTO "STARYCH/POVODNYCH" CERTIFIKATOV.

    7. Zazalohujte povodnu CA (najma jej databazu, privatny a verejny kluc). Pre istotu. :) Ale v prvom rade preto, ak ste na CA zalohovali privatne kluce k EFS. Alebo mate DRA ...

    8. Odinstalujte rolu CA.

     

     

    To by snad malo byt vsetko. Dalsie info mozno najst tu :

    http://support.microsoft.com/kb/889250

     

    alebo tu :

    http://blogs.technet.com/b/askds/archive/2010/08/23/moving-your-organization-from-a-single-microsoft-ca-to-a-microsoft-recommended-pki.aspx

     

     

    Boris.

    středa 7. září 2011 6:15

Všechny reakce

  • Ta CA, ktoru chcete vyradit - ake certifikaty vydavala? SmartCard? EFS? WebServer? Kolko ich vydala? (aspon cca.)

     

    Boris.

     

    úterý 6. září 2011 11:55
  • Původní CA vystavila do současnosti 885 certifikátů a vystavuje SmartCard, EFS, Webserver, User. Vzhledem k tomu, že některé vydané certifikáty mají platnost do roku 2012, je potřeba aby nadále vydávala CRL. Nové certifikáty je potřeba vydávat automaticky vydávat novou CA. Jde např o EFS, Exchange, které jsou i nyní vydávány starou CA.
    středa 7. září 2011 4:19
  • Ok. Takze postup by bol nasledovny :

     

    1. Na novej CA vypublikujte sablony tych certifikatov, ktore ma vydavat.

    2. Tato informacia sa zapisuje do AD, preto pockajte, kym sa zmeny nezreplikuju na VSETKY DC CELEHO FORESTU.

    3. Na starej (povodnej) CA potom odoberte vsetky sablony certifikatov, ktore vydavala. Opat vyckajte na replikaciu napriec celym forestom.

    4. Certifikaty, ktore ste zo starej (povodnej) CA ziskali manualne (typicky Web Server), budete musiet vymenit taktiez manualne.
      Typicky napriklad Web Servre - na kazdom jednom vyziadat novy certifikat, ktory dostanete z novej CA, lebo povodna CA uz ma odobrate sablony, a nasledne zaktualizovat konfiguraciu webu (povodny certifikat mozete zmazat).

    5. Certifikaty, ktore ziskali klienti automaticky (Certificate Autoenrollment cez GPO), vymenite pohodlne automaticky. (Pri startup / logon procese alebo nasledne raz za 8 hodin).
      V MMC konzole "Certificate Templates" kliknite pravym tlacidlom na sablonu certifikatu, ktoru distribuujete formou Certificate Autoenrollment mechanizmu, a zvolte "Reenroll All Certificate Holders". Podmienkou je, aby v GPO, ktora konfiguruje Certificate Autoenrollment - teda v Certificate Services Client - Auto-Enrollment Properties (v Computer Configuration pre PC ucty, v User Configuration pre uzivatelske ucty) musi byt zaskrtnute "Update certificates that use certificate templates".

    6. Na povodnej CA nastavte dobu expiracie CRL na napr. 2 roky (pisete, ze mate certifikaty, ktore expiruju v roku 2012 - teda ak nastavite CRL na 2 roky, CRL vyexpiruje v roku 2013 - to by malo stacit). Nasledne vypublikujte CRL (AD/HTTP). Tym padom budete moct vypnut CA a odinstalovat ju - nebude nevyhnutne ju udrizavat kvoli CRL.

      SAMOZREJME, TENTO KROK JE OK LEN V PRIPADE, ZE NEBUDETE POTREBOVAT ZAMIETNUT NIEKTORY Z TYCHTO "STARYCH/POVODNYCH" CERTIFIKATOV.

    7. Zazalohujte povodnu CA (najma jej databazu, privatny a verejny kluc). Pre istotu. :) Ale v prvom rade preto, ak ste na CA zalohovali privatne kluce k EFS. Alebo mate DRA ...

    8. Odinstalujte rolu CA.

     

     

    To by snad malo byt vsetko. Dalsie info mozno najst tu :

    http://support.microsoft.com/kb/889250

     

    alebo tu :

    http://blogs.technet.com/b/askds/archive/2010/08/23/moving-your-organization-from-a-single-microsoft-ca-to-a-microsoft-recommended-pki.aspx

     

     

    Boris.

    středa 7. září 2011 6:15