none
перенос подчиненного центра сертификации RRS feed

  • Вопрос

  • Добрый день!

    Подскажите, пожалуйста, существует ли стандартная процедура переноса подчиненного центра сертификации без сохранения имени сервера?

    Перенос будет производиться с 2008 r2 на 2012 r2.

    Если это просто банальная установка SubCA с нуля - то как правильно перенести действующие сертификаты и данные о CDP, AIA?

    Заранее благодарен.

    16 февраля 2016 г. 14:24

Ответы

  • Тогда создайте новый центр сертификации и отзовите сертификаты, выданные старым ЦС. Дальше потребуется перегенерировать сертификаты для тех, кому это надо.

    Остановить выдачу сертификатов на ЦС очень просто - возьмите и деинсталлируйте его. ли службу остановите и запретите включать. Или с свойствах старого ЦС вкладка Policy Module, кнопка Properties, флажок Set the certificate request status to pending. Или там же в свойствах вкладка Security, убрать право Request certificates у всех или отдельных групп.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    17 февраля 2016 г. 8:39

Все ответы

  • Перенос ЦС на другой сервер возможен, но только без смены имени. Имя содержится в сертификате ЦС, которым подписаны выдаваемые им сертификаты, его смена невозможна просто по определению.

    Что такое в вашем понимании "перенести действующие сертификаты и данные о CDP"? Выданный центром сертификации сертификат будет считаться валидным, если он не отозван, а публичный сертификат выдающего ЦС находится в компьютерном хранилище Trusted root certification authorities. Информация о CRL distribution point жестко прописана в уже выданных сертификатах, и если проверяющая система не обнаружит там CRL, сертификат не будет считаться валидным. Следовательно, вам нужно обеспечить наличие этого места и CRL в нем. Как - отдельный вопрос. Например, можете сделать в DNS алиас, указывающий на файл-сервер с директорией для CRL.

    Вообще опишите ваш сценарий. Для чего у вас применяются сертификаты? Каких проблем вы намерены избежать? Чем обусловлена необходимость смены имени сервера?


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    17 февраля 2016 г. 7:26
  • Сертификаты используются для идентификации серверов, пользователей, компьютеров.

    Необходимо освободить старый сервер и подчиненный ЦС там занимает одну из ролей.

    Пока запланирован перенос только самого ЦС на другой сервер.

    Хотелось бы, чтобы все получили новые сертификаты с нового ЦС, а старые тогда отозвать или - может быть возможно остановить выдачу и переиздание сертификатов на старом сервере?

    17 февраля 2016 г. 7:40
  • Вы должны выяснить, нужны ли вам сертификаты, выданные старым центром сертификации. Если не нужны, то и проблемы нет. Если нужны, то вам придется поддерживать хотя бы одну точку публикации CRL старого CA и, естественно, по старому пути. Сгенерируйте CRL с временем жизни до конца срока действия сертификата старого CA и опубликуйте его по пути старого CDP.

    17 февраля 2016 г. 8:34
    Модератор
  • Тогда создайте новый центр сертификации и отзовите сертификаты, выданные старым ЦС. Дальше потребуется перегенерировать сертификаты для тех, кому это надо.

    Остановить выдачу сертификатов на ЦС очень просто - возьмите и деинсталлируйте его. ли службу остановите и запретите включать. Или с свойствах старого ЦС вкладка Policy Module, кнопка Properties, флажок Set the certificate request status to pending. Или там же в свойствах вкладка Security, убрать право Request certificates у всех или отдельных групп.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    17 февраля 2016 г. 8:39