Настройка параллельной иерархии PKI с помощью ADCS
Я новичок в ADCS, и у меня возникла проблема перенести наши старые Шина-2 PKI для SHA-256. Поскольку нам было предложено настроить параллельный ЦС SHA-2, я не приветствую никаких идей, как это сделать, я могу создать автономный корневой ЦС с SHA-2, но затем как опубликовать его в моей текущей среде , Также как через какое-то время перестать использовать сертификаты SHA-1. Пытался искать в блогах и статьях, я искал любой пошаговый документ, но не нашел подходящего, любое предложение будет оценено.
Спасибо
Я могу создать автономный корневой центр сертификации с помощью SHA-2, но тогда как мне опубликовать его в моей текущей среде.
Практически так же, как вы изначально опубликовали старый сертификат. Вы можете опубликовать его с помощью групповой политики или опубликовать в AD ( certutil -dspublish ). В основном инструкции по публикации будут следовать тем же указаниям, которым вы следуете для нового центра сертификации.
Также как прекратить использование сертификатов SHA-1 через некоторое время.
Вы начинаете с перехода в существующий центр сертификации и изменения существующих шаблонов и настройка безопасности этих шаблонов, чтобы предотвратить новые сертификаты для этих шаблонов. Затем вы можете просто подождать, пока истечет срок действия большинства существующих сертификатов, или, если вам нужно, чтобы они удалились раньше, вы можете сценарий их удаления из любых систем, в которых они находятся.