none
CA Enterprise Secondary RRS feed

  • Pergunta

  • Bom dia

    É possível ter dois servidores distintos provendo o serviço de CA Enterprise?

    Gostaria de ter um novo servidor para atender redes sem fio apenas (provisionamento de certificados) e deixar o legado ativo para o serviço do Exchange.

    Existe alguma incompatibilidade de duas CAs ativas?

    Não gostaria de criar CA subordinada porque o legado vai deixar de existir daqui uns meses.

    Grato, William

    terça-feira, 20 de outubro de 2020 16:48

Todas as Respostas

  • É possível, mas é dificil prever quais problemas podem ocorrer dependendo do ambiente, de como são utilizados os certificados. Se for exclusivamente para o Exchance, não conheço problemas que podem ocorrer. Mas se não for exclusivo para Exchange, pode ter problemas. Há casos em que o Active Directory utiliza certificados para replicar os dados de maneira segura entre diferentes controladores de dominio, dois certificados pode gerar conflito, por exemplo. 

    Eu não encontrei uma documentação que permite ou fale dos riscos em ter duas Enterprises CA. Recomendo que crie um ambiente para testar o cenario e estar ciente dos possiveis impactos. 

    Algumas boas leituras: 

    https://docs.microsoft.com/en-us/windows-server/networking/core-network-guide/cncg/server-certs/server-certificate-deployment-overview

    https://social.technet.microsoft.com/wiki/contents/articles/53249.active-directory-certificate-services-enterprise-ca-architecture.aspx

    Se a motivação para desativar o servidor atual for o algoritmo, talvez seja valido avaliar a migração: https://docs.microsoft.com/en-us/archive/blogs/askds/sha1-key-migration-to-sha256-for-a-two-tier-pki-hierarchy 
    terça-feira, 20 de outubro de 2020 17:55