Domain-Controller

遷移需要降級的域控制器的 PKI 和 CA

  • July 5, 2016

我有一個域控制器,出於某種原因,它上面安裝了 ADCS。域控制器是 2008 R2 伺服器,需要降級,但首先我需要做兩件事之一。該伺服器還執行 DHCP、NPS(RADIUS 伺服器)和其他第三方軟體。

我的選項(根據我的說法) 1. 將 ADCS 遷移到不同的伺服器(它將是 2012 R2 的新機器)。 https://technet.microsoft.com/en-us/library/ee126140(v=ws.10).aspx 2. 啟動一個離線的非域加入根 CA,並讓一個活動域加入發行 CA。然後我會在域控制器上備份 ADCS,撤銷任何已頒發的證書並刪除伺服器角色。

看來,要使選項 1 起作用,我還需要遷移電腦名稱和 IP。如果我選擇選項 2,我可以採取哪些步驟來減輕可能的影響。目前 CA 已頒發 9 個證書。但是,只有 3 個尚未過期,其中 2 個將在下周到期,第三個將在一年後到期。

使 ADCS 脫離此域控制器的最佳方法是什麼?

本週之後,根據現有 CA 只有一個有效證書,我將執行以下操作:

  • 啟動一個全新的並行 PKI 基礎架構(無論您想使它變得多麼複雜)
  • 生成新證書以替換剩餘的證書並遷移應用程序以使用新證書
  • 完全停用舊 CA。

如果兩個即將到期的證書需要更新,並且您可以在此之前獲得新的 CA,只需從新 CA 生成它們即可。否則,從舊的更新並以與另一個相同的方式遷移它們。

引用自:https://serverfault.com/questions/788103