none
Перенос certificate authority RRS feed

  • Вопрос

  • Доброе время суток,

    Возникла необходимость перенести certificate authority с DC win2k3 Std на 2ой DC w2k3 Ent (что бы была возможность использовать тимплэйты v2 + для установки Identity Lifecycle Manager).

    DC win2k3 Std после переноса Enterprise root CA на DC w2k3 Ent .. Станет Sub Enterprise CA.

    по теме нашел несколько ссылок:
    http://support.microsoft.com/kb/298138
    http://support.microsoft.com/kb/555012
    http://forum.windowsfaq.ru/showthread.php?t=34335

    Собственно вопрос:
    Правильно ли я для себе сформировал алгоритм действий?
    1) Бэкапим СА на DC win2k3 Std (со всеми закрытыми ключами и т.д. и т.п.)
    2) Сохраняем ветку реестра DC win2k3 Std HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA_NAME
    3) Сносим СА с win2k3 Std
    4) Накатываем СА на win2k3 Ent
    5) Поднимаем бэкап, импортируем ветку реестра
    6) Ребутим win2k3 Ent
    7) renew CA Sertificate

    так?
    То что потом нужно будет заново настроить и добавить тимплейты в СА я понимаю ..., есть опасение что бэкап СА сделанный на Win 2k3 Std не захочет подниматься на Win 2k3 Ent (тем более сервер с другим именем).. или в дальнейшем это вызовет глюки ..

    На самом деле в СА сейчас не так много сертификатов, и в принципе можно было бы просто зарубить старый, поднять новый и заново все переэнролить ..... но, в плане экспириенса да и все таки будет некий гемор при перевыпуске сертификатов хотелось бы все таки перенести.

    З.Ы.: И еще один вопросик, как я понимаю если в домене есть Enterprise root CA то визард по установке СА не должен разрешить поднять 2ой Enterprise root параллельно (чекбоксы должны быть серыми) ... у меня же есть такая возможность ... это нормально?

    5 августа 2008 г. 9:25

Все ответы

  •  Manaenkov написано:

    З.Ы.: И еще один вопросик, как я понимаю если в домене есть Enterprise root CA то визард по установке СА не должен разрешить поднять 2ой Enterprise root параллельно (чекбоксы должны быть серыми) ... у меня же есть такая возможность ... это нормально?

    Вполне нормально. Почему же он не должен разрешить поднять второй root CA. Поднимая совершенно отдельный Root CA Вы просто создаете корень новой цепочки доверия, этих цепочек может быть и несколько. Эти CA просто будут никак не связаны друг с другом. Но естественно оба CA будут хранить свою конфигурацию и базу сертификатов в базе Active Directory.

    7 августа 2008 г. 13:50
  • У меня тоже есть один вопрос при переносе root CA c  DC на  DC у них одинаковые имена должны быть?
    Это Вам не с носорогами через скакалку прыгать!