Добавление нового корня/предприятия CA, не нарушая существующий?
ЗДЕСЬ является лучшим и большая часть полного списка портов VMWare, используемых, я столкнулся, надейтесь, что это помогает.
Редактирование - просто определило Ваш второй вопрос - хотя Ваш VMKernel и трафик VM могут быть на той же группе портов и имеют смысл для некоторых конфигураций, я не сделал бы этого для Вашего.
Я использовал бы;
- два NICs для 'внутреннего' трафика, или один NIC к одному внутреннему коммутатору и другой к второму переключателю или два NICs к тому же переключателю - обе опции покрывают Вас в случае NIC/кабеля/отказа коммутатора. Создайте новый двухпортовый vswitch и соответствие группе портов для этого переноса трафик VMKernel (SC/VMotion и т.д.)
- другие два NICs для трафика 'демилитаризованной зоны', соединенного проводом для или разделения или тот же внешний коммутатор/es/load-balancers, снова для защиты и/или улучшений пропускной способности и снова с другим двухпортовым VM-направлением vswitch и группой портов.
Это - очень обычная практика, и я думаю, будет служить Вам хорошо, возвратитесь нам, если у Вас есть дальнейшие вопросы. О, и ESX откроет свои собственные порты FW, поскольку Вы включаете определенные сервисы (NTP и т.д.), так не волнуйтесь о серверах, просто никакой ACLs/FWs в пути хорошо.
Имея дело с тем же сценарием, вот обзор подхода, который я проявил:
Разбудите новую среду и выполнение, но не давайте ему способность выпустить сертификаты - использование LoadDefaultTemplates=False в Вашем capolicy.inf.
В то время как устройства все еще установлены не выпустить любые шаблоны, уладьте все с новой средой, местоположениями AIA, распределением CRL, и т.д. Проверьте состояние всех со снимком Предприятия PKI - в.
Затем когда Вы готовы, изменяете конфигурацию существующего CA, чтобы прекратить выпускать сертификаты для определенных шаблонов. Вы еще не уничтожаете сервер, просто говоря этому прекратить выпускать новые сертификаты. Добавьте те те же шаблоны к позволенным политикам выпуска Вашей новой среды.
Затем используйте, "повторно регистрируют владельцев сертификата" опция на шаблонном инструменте управления для шаблонов, которые имеют сертификаты там и автозарегистрированы (пользователь, компьютер и сертификаты контроллера домена). Это ударит шаблонную версию и заставит их захватывать новый сертификат от новой инфраструктуры когда их авторегистрирующий импульсы.
Это покроет Вас для тех сертификатов, но для сертификатов веб-сервера это, к сожалению, будет ручной процесс. Переиздание для каждого и слушатели изменения новых сертификатов.
После того как Вы довольно уверены, что имеете все переизданные сертификаты, наносите вред старому CA, но еще не удаляете роль. Сделайте что-то вроде удаления всего AIA или точек распределения CRL в конфигурации CA, затем удаляя файлы/объекты из тех местоположений (LDAP является, вероятно, основным, но http и кому-то нужна проверка также). Ожидайте проблем в течение нескольких недель; когда что-то повреждается, можно повторно добавить, что AIA/CRL указывает, что Вы удалили, и переиздайте (certutil -dspublish) в случае необходимости.
После того как Вы удовлетворены, что ничто не использует старый CA больше, удалите роль, затем очистите Active Directory. AIA, CRLs и дельта, CRLs нужно руководство, удаляют, в котором можно сделать в опции "Manage AD Containers" в снимке Предприятия PKI-.
В соответствии с этой статьей: http://thedailyreviewer.com/server/view/multiple-enterprise-certificate-authorities-10276898 Microsoft позволяет это, но не рекомендует это. Мы сталкивались с этим выбором, который мы выбрали в офлайн старый сервер, и запустите. одна из первых вещей, которые мы сделали, была переиздать сертификаты на тех, которые активно используют SSL.