最近豆子需要清理一下公司的PKI服务器。由于历史原因,公司之前内网里面搭建了2台Enterprise Root级别的CA服务器,老板让我再搭建一个新的,然后把之前的2台处理掉。微软的AD环境里面是允许同时搭建多个PKI结构的,不过这样导致的后果就是可能客户端申请证书的时候会随机申请一个,这样的后果是很难管理的。
经过一番研究,发现一般的处理流程如下:
-
安装新的CA
-
旧的CA上卸载掉Certificate Template(证书模板),这样就不能继续签发新的证书
-
新的CA上添加对应的模板
-
对于手动签发的证书可以手动的更新
-
对于自动Enroll的证书可以通过ReEnroll指向新的CA,这里需要配置对应的组策略
-
重复4-5,直到所有的证书都成功修改替换,最后关掉旧的CA
-
如果需要立刻关掉旧的CA,需要考虑延长CRL的时间
首先搭建了一个模拟环境来试试
基本环境:
2012 R2 域控 DC1
2012 R2 证书服务器 CA2 (新的CA)
2008 R2 证书服务器 CA1 (旧的CA)
2008 R2 网页服务器 WEB1
Window 7 客户端 Win7
实验流程:从CA1签发EFS证书 ,DomainController证书和 Web Server 证书,在对应的客户端进行配置; 然后安装CA2 为新的Root CA;手动更改证书到新的CA
接下来首先模拟签发的过程
首先在CA1上安装AD CS,过程略
安装成功以后可以通过IIS查看
接下来配置EFS的证书,EFS可以允许用户加密自己的文档。
登录Win7 客户端,控制面板
创建一个新的证书
从域内的CA签发
成功的从CA1签发
指定用这个证书加密的对象
完成证书的创建以后,退回到C:\Confidential 文件夹,打开加密的选项
可以看见这个文件夹变成绿色了,然后在里面创建一个新的文件,他会自动用证书加密。
接下来,我需要创建一个DomainController的证书。登录到域控,从MMC添加Certificate SnapIn
然后发送一个证书请求
选择需要的证书类型
成功签发
最后需要签发一个Web Server的证书。登录WEB1,打开IIS,Server Certificate里面可以进行请求
具体的步骤略
成功导入证书后,然后绑定证书到https
现在已经成功的签发了 EFS, Domain和 Web Server的证书了。
下一步我们来看看如何更新到CA2上。
