將中間 CA 遷移到新根

使用 Microsoft CA 有沒有辦法從中間機構切換到新的證書機構？

我的兩個系統都是 Microsoft CA——我有一個 2008 R2 Enterprise CA（中級）和一個舊的 2003 CA（根）。2003 年的盒子有點塵土飛揚，我沒有很好的備份。距離 CRL 到期還有幾個月的時間；有沒有一種現成的方法可以簡單地將這個中間機構指向一個新的離線 CA，而不是切換到一個新的中間機構？

根據我的研究，似乎可以通過將新 CA 添加到活動目錄、對所有自動註冊的模板執行重新註冊證書持有者命令並手動更新 Web 等模板來實現這一點。

由於我的組織在一個帶有共享點安裝的盒子上有一個 CA，我們繼續並藉此機會拆分了這些角色。

Shane 在添加新根/企業 CA 而不會干擾現有 CA 的回答？證明對這個過程非常有價值。

MS 在這方面有很好的文件，例如：Active Directory 證書服務遷移指南

引用自：https://serverfault.com/questions/426096