none
Миграция службы сертификации AD RRS feed

  • Вопрос

  • Добрый день!

    В домене моей организации есть сервер со службой сертификации AD на Windows server 2008. Из-за технических проблем с сервером было принято решение переноса роли на другой сервер. По инструкции на tecnet одно из условий - переименование нового сервера именем старого. Но из-за правил организации старое имя я оставить не могу. Как быть в данном случае? Перенос осуществляется на Windows server 2012 R2

    В сети так же есть exchange server 2007 и lync server 2010.



    15 апреля 2014 г. 9:20

Ответы

  • В этом  случае, список отзыва сертификатов будет проверяться на сервере со старым именем (это же указано в сертификате). Соответственно, работать нормально не будет.

    Есть вот такой вариант:

    http://blogs.technet.com/b/pki/archive/2012/01/27/steps-needed-to-decommission-an-old-certification-authority-without-affecting-previously-issued-certificates-and-then-switching-all-operations-to-a-new-certification-authority.aspx

    Но в этом случае, новый сервер будет отзываться (через веб-интерфейс, например) на оба имени - и старое, и новое. И, кроме того, часть сертификатов, возможно, придется перевыпустить. Не знаю, противоречит ли это политике вашей организации.

    • Помечено в качестве ответа Genrih Zagalsky 15 апреля 2014 г. 10:20
    15 апреля 2014 г. 9:54

Все ответы

  • Если вы не переименуете, то сертификат CA будет иметь неправильное hostname.

    Что вы имеете в виду под правилами организации?

    15 апреля 2014 г. 9:35
  • Был введён регламент именования серверов. Оставить старое имя сервера я не могу.
    15 апреля 2014 г. 9:41
  • В этом  случае, список отзыва сертификатов будет проверяться на сервере со старым именем (это же указано в сертификате). Соответственно, работать нормально не будет.

    Есть вот такой вариант:

    http://blogs.technet.com/b/pki/archive/2012/01/27/steps-needed-to-decommission-an-old-certification-authority-without-affecting-previously-issued-certificates-and-then-switching-all-operations-to-a-new-certification-authority.aspx

    Но в этом случае, новый сервер будет отзываться (через веб-интерфейс, например) на оба имени - и старое, и новое. И, кроме того, часть сертификатов, возможно, придется перевыпустить. Не знаю, противоречит ли это политике вашей организации.

    • Помечено в качестве ответа Genrih Zagalsky 15 апреля 2014 г. 10:20
    15 апреля 2014 г. 9:54
  • Мысль интересная и подходит. Спасибо за помощь.
    15 апреля 2014 г. 10:20