從獨立 CA 遷移到企業 CA

我希望從舊的獨立 CA 和平過渡到企業 CA。我打算在完成此過程後使伺服器離線。

我的想法是在獨立 CA 上發布一個帶有長視窗的 CRL 並停止證書服務。從這裡開始，我認為我應該能夠簡單地停止證書服務並建構我的企業 CA，就好像獨立盒子不存在一樣。

我意識到這樣做我將無法撤銷現有獨立伺服器上的證書，並且我最終需要將對舊證書伺服器的引用從 Active Directory 中提取出來。

走這條路線和/或更清潔的替代方案時，我應該注意哪些問題？我特別擔心在 AD 中有兩個盒子作為授權 CA。

我意識到這個問題可能涵蓋與前一個問題相同的一些基礎，但我不想讓我的舊伺服器保持線上。

在使用企業從屬 CA 建構離線根 CA 時，通常會設置具有較長驗證期的根，這樣您就不必經常啟動它來重新頒發子 CA 的證書。

話雖如此，您可以簡單地向企業 CA 頒發一個由每個人都已經信任的根簽名的從屬 CA 證書。將根 CA 的證書和 CRL 導入 AD，您應該一切順利。您應該在方便時重新頒發由企業 CA 上的獨立頒發的證書。Microsoft在此處提供了配置這些不同場景的非常詳細的指南

如果沒有企業 CA，您將無法使用自動註冊，所以我不確定您為什麼會擔心離線“發布”。您可能只想在 AD 站點和服務中驗證 - 在服務 -> 公鑰服務 -> 註冊服務下，在安裝完成後僅列出企業 CA。

引用自：https://serverfault.com/questions/338345