Перенос PKI и CA контроллера домена, который необходимо понизить
У меня есть контроллер домена, на котором по какой-то незнакомой мне причине установлена ADCS. Контроллер домена - это сервер 2008 R2, и его необходимо понизить, но сначала мне нужно сделать одно из двух. На этом же сервере также работают DHCP, NPS (сервер RADIUS) и другое стороннее программное обеспечение.
Мои параметры (по моему мнению) 1. Перенесите ADCS на другой сервер (это будет новый компьютер с 2012 R2). https://technet.microsoft.com/en-us/library/ee126140 (v = ws.10) .aspx 2. Создайте автономный корневой ЦС, не присоединенный к домену, и получите действующий домен. присоединился к выдающему ЦС. Затем я бы сделал резервную копию ADCS на контроллере домена, отозвал все выпущенные сертификаты и удалил роли сервера.
Казалось бы, чтобы вариант 1 работал, мне нужно также перенести имя и IP-адрес компьютера. Если я выберу вариант 2, какие шаги я могу предпринять, чтобы уменьшить возможное влияние. В настоящее время ЦС выдало 9 сертификатов. Однако не истекли только 3, из них 2 истекают на следующей неделе, а третье - через год.
Как лучше всего отключить ADCS от этого контроллера домена?
Имея только один действующий сертификат, зависящий от существующего CA, после этой недели я бы сделал следующее:
- Развернул совершенно новую параллельную инфраструктуру PKI (какой бы сложной вы ни были)
- Сгенерируйте новый сертификат для замены одного оставшегося и перенесите приложение на использование нового сертификата
- Полностью выведите старый ЦС из эксплуатации.
Если два сертификата, срок действия которых истекает, необходимо обновить, и вы можете получить новый CA до этого, просто сгенерируйте их только что из нового CA. В противном случае обновите старый и перенесите их так же, как и предыдущий.