none
同一ドメインにエンタープライズルートCAは複数立てられるのか? RRS feed

  • 質問

  • 質問はタイトルそのままなのですが、 同一ドメインにエンタープライズルートCAは複数立てられるのか?です。

    やろうと思えばできるという一般サイトの記述があったのですが、

    やっている事例を探す事が出来なかったので

    ご存知の方がいらっしゃれば、こんなワードで探すと良い等教えていただけないでしょうか?



    なぜ複数台立てたいのかと言うと、現在ドメインには1つエンタープライズルートCAがあるのですが、

    異常な状態になっており、原因を調べた結果 解決不可能そうだということがわかり、

    ならば新しいの作ろう!!という話になりました。

    そのため、この旧エンタープライズルートCAから

    新エンタープライズルートCA にどのように作業すれば

    スムーズに切り替えることができるかを探しています。



    一番単純は 旧エンタープライズルートCAを削除して 

    新CA名で新エンタープライズルートCAを立てることだと考えているのですが

    他にも良い方法があるならばと思い質問させいただきました。


    よろしくお願いします。




    • 編集済み hideri 2016年3月11日 9:31
    2016年3月11日 9:27

回答

  • チャブーンです。

    ドメイン内にエンタープライズCAを複数建てられるのか?については、一応は「できます」というところが答えかと思います。

    ただし、条件として「以前のCAがインストールされていたサーバとは別サーバにインストールする」ことと、「CA名が重複しないこと」が必要です。

    移行というより、「以前のCA環境をすべて破棄(ドメインサーバやクライアントの証明書も全差し替え)」ということであれば、以下の手順になるように思います。

    • 新サーバに新CA名・新CA証明書でエンタープライズルートCAを作成する
    • 旧サーバからCAをアンインストール(事前にCA環境のバックアップを取られることをお奨めします)
    • 新サーバ上のMMCスナップインで[エンタープライズPKI]を選択し、旧CAの各種LDAP情報を削除する

    ただし、これを行った場合、以前の証明書はすべて使えなくなりますので、SSL証明書(Webサーバ)をはじめとした証明書を使った認証サービスについては、バインドする証明書を差し替える等を行わないと、動作しなくなるでしょう。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年3月15日 2:56
    • 回答としてマーク 佐伯玲 2016年3月25日 5:56
    2016年3月14日 4:22
    モデレータ

すべての返信

  • チャブーンです。

    ドメイン内にエンタープライズCAを複数建てられるのか?については、一応は「できます」というところが答えかと思います。

    ただし、条件として「以前のCAがインストールされていたサーバとは別サーバにインストールする」ことと、「CA名が重複しないこと」が必要です。

    移行というより、「以前のCA環境をすべて破棄(ドメインサーバやクライアントの証明書も全差し替え)」ということであれば、以下の手順になるように思います。

    • 新サーバに新CA名・新CA証明書でエンタープライズルートCAを作成する
    • 旧サーバからCAをアンインストール(事前にCA環境のバックアップを取られることをお奨めします)
    • 新サーバ上のMMCスナップインで[エンタープライズPKI]を選択し、旧CAの各種LDAP情報を削除する

    ただし、これを行った場合、以前の証明書はすべて使えなくなりますので、SSL証明書(Webサーバ)をはじめとした証明書を使った認証サービスについては、バインドする証明書を差し替える等を行わないと、動作しなくなるでしょう。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答の候補に設定 佐伯玲 2016年3月15日 2:56
    • 回答としてマーク 佐伯玲 2016年3月25日 5:56
    2016年3月14日 4:22
    モデレータ
  • こんにちは、hideri さん
    フォーラムオペレータの佐伯 玲 です。

    チャブーンさんからのアドバイスがご参考になるかと思い私のほうから「回答としてマーク」とさせていただきました。
    フォーラムでは解決に至ったりご参考になる情報が得られた際には「回答としてマーク」と設定いただけますようお願い致しますね。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2016年3月25日 5:56