Перейти на двухуровневую PKI (Microsoft)
В настоящее время у меня есть один сетевой корневой центр сертификации предприятия (и выдающий сертификаты - шаблоны по умолчанию), установленный на DC (да, да, я знаю - худший сценарий). Я установил еще один автономный сервер, не подключенный к серверу домена, 2 сервера IIS под LB и 2 корпоративных сервера выдачи, и мне нужно несколько ответов, прежде чем я продолжу:
ПРИМЕЧАНИЕ. Конечная цель - ЗАМЕНИТЬ, а не переносить текущий набор / сертификаты.
1) Текущее общее имя CA (не имя сервера) - example-root-ca. Могу ли я дать новому офлайновому серверу корню CA такое же общее имя при установке роли CA? Это как-то повлияет на текущие сертификаты? Следует ли мне использовать новое имя и почему?
2) Установка нескольких подчиненных выдающих серверов, опять же, когда вы настраиваете роль ЦС, он также запрашивает общее имя - поэтому 2 сервера должны использовать одно и то же общее имя? или нормально у них разные общие имена (или даже насколько я помню, должно быть уникальным)? - В таком случае я думаю, как клиент получит сертификат? некоторые получат с сервера 1, а некоторые - с сервера 2? Что произойдет, когда они попытаются продлить подписку?
можно передать новому офлайн-серверу Корень CA такое же общее имя при установке роли CA? Повлияет ли это как-то на текущие сертификаты?
Вы можете повторно использовать то же имя для корневого CA, если хотите. Поскольку открытый / закрытый ключ будет другим, сертификат будет фактически другим независимо от того, совпадает ли имя или нет. Поскольку это автономный корневой ЦС, в AD не будет конфликтов ни с чем (что могло бы иметь место, если бы этот ЦС также был присоединен к домену). Кроме того, управление двумя корневыми сертификатами ЦС с одинаковыми именами субъектов будет немного сложнее, просто потому, что будет труднее различать эти два сертификата, не глядя на действительные даты от / до.
поэтому 2 сервера должны использовать одно и то же общее имя?
Имена выдающего CA должны быть уникальными. Обратите внимание, что наличие двух выдающих центров сертификации не даст вам никакой формы балансировки нагрузки. Вы просто получите два центра сертификации. Можно утверждать, что у вас будет некоторая форма аварийного переключения в том смысле, что если один из них не работает, другой все еще может обслуживать запросы.
В таком случае я думаю о том, как клиент получит сертификат? некоторые будут получать с сервера 1, а некоторые - с сервера 2?
Если у вас несколько выдающих центров сертификации, пользователь сможет выбрать, в какой из них они хотят отправить запрос. Список будет из AD и не изменится, если один из центров сертификации не работает. Поэтому, если пользователь выберет ЦС, который оказывается в автономном режиме, запрос просто не удастся.
Автоматически зарегистрированные сертификаты выберут любой из ЦС, для которого включен шаблон. Я не уверен в том, какой ЦС следует использовать, если шаблон включен более чем в одном;однако я припоминаю, что тот, у которого был включен шаблон, позже, похоже, получил запрос, но я не проверил достаточно тщательно, чтобы убедиться в этом.