添加新的根/企业CA而不打扰现有的?

我正在考虑安装新的AD集成企业证书颁发机构结构,但发现有人已经创build了一个CA(主要用于内部网站上的SSL)。

我想根据最佳实践来构build新的结构,创build一个脱机根目录,授权几个从属CA进行容错等,但我不想搞乱已经存在的东西。 显然你不能把一个现有的根CA变成一个下属,所以这是排除的。

我可以简单地在别处安装新的根,而不是触摸现有的? (或者用新的根权限交叉签名现有的CA?)

处理了相同的情况,下面是我采取的方法的概述:

启动并运行新的环境,但不要授予它颁发证书的能力 – 在capolicy.inf中使用LoadDefaultTemplates=False

虽然这些设备仍然没有设置任何模板,但是在新环境,AIA位置,CRL分配等方面,请将所有设备都摆平。使用企业PKIpipe理单元检查所有设备的运行状况。

然后,当您准备好时,请更改现有CA的configuration以停止为某些模板颁发证书。 你还没有杀死服务器,只是告诉它停止发放新的证书。 将这些相同的模板添加到新环境的允许发布策略中。

然后,使用模板pipe理工具上的“重新注册证书持有者”选项,以获取具有证书并自动注册(用户,计算机和域控制器证书)的模板。 这将冲击模板版本,并使它们在自动注册脉冲时从新基础架构中获取新证书。

这将覆盖你的这些证书,但对于Web服务器证书,它不幸是一个手动过程。 重新发行每个,并更改听众新的证书。

一旦你确信自己已经获得了所有重新颁发的证书,就会瘫痪旧的CA,但是还没有取消这个angular色。 按照删除CAconfiguration中的所有AIA或CRL分发点,然后从这些位置删除文件/对象(LDAP可能是主要的,但是http和smb也需要检查)来做一些事情。 等待几个星期的问题; 当某些事情中断时,您可以重新添加您删除的AIA / CRL点,并在需要时重新发布( certutil -dspublish )。

一旦你满意,没有什么使用旧的CA了,删除angular色,然后清理Active Directory。 AIA,CRL和增量CRL需要手动删除,您可以在企业PKIpipe理单元的“pipe理AD容器”选项中进行手动删除。

根据这篇文章: http : //thedailyreviewer.com/server/view/multiple-enterprise-certificate-authorities-10276898微软确实允许这个,但不推荐它。 我们面临这个select,我们select离线旧服务器,并重新开始。 我们所做的第一件事情之一就是重新发放那些主动使用SSL的证书。