迁移微软CA的证书 (1)

简介:

最近豆子需要清理一下公司的PKI服务器。由于历史原因,公司之前内网里面搭建了2台Enterprise Root级别的CA服务器,老板让我再搭建一个新的,然后把之前的2台处理掉。微软的AD环境里面是允许同时搭建多个PKI结构的,不过这样导致的后果就是可能客户端申请证书的时候会随机申请一个,这样的后果是很难管理的。


经过一番研究,发现一般的处理流程如下:

  1. 安装新的CA

  2. 旧的CA上卸载掉Certificate Template(证书模板),这样就不能继续签发新的证书

  3. 新的CA上添加对应的模板

  4. 对于手动签发的证书可以手动的更新

  5. 对于自动Enroll的证书可以通过ReEnroll指向新的CA,这里需要配置对应的组策略

  6. 重复4-5,直到所有的证书都成功修改替换,最后关掉旧的CA

  7. 如果需要立刻关掉旧的CA,需要考虑延长CRL的时间


首先搭建了一个模拟环境来试试


基本环境:

2012 R2 域控 DC1

2012 R2 证书服务器 CA2 (新的CA)

2008 R2 证书服务器 CA1  (旧的CA)

2008 R2  网页服务器 WEB1

Window 7 客户端 Win7


wKioL1Ye4xOBfQ79AACWalPgcik289.jpg


实验流程:从CA1签发EFS证书 ,DomainController证书和 Web Server 证书,在对应的客户端进行配置; 然后安装CA2 为新的Root CA;手动更改证书到新的CA


接下来首先模拟签发的过程


首先在CA1上安装AD CS,过程略


安装成功以后可以通过IIS查看

wKiom1Ye4vPxFUjCAAMHVqVveSs917.jpg


接下来配置EFS的证书,EFS可以允许用户加密自己的文档。


登录Win7 客户端,控制面板

wKioL1Ye4xbijPCDAADrV-sWAtc880.jpg


创建一个新的证书

wKiom1Ye4vaS_tJbAAFUEFXQ-JA010.jpg


从域内的CA签发

wKioL1Ye4xigWBHlAAEhueUFcyo845.jpg


成功的从CA1签发

wKiom1Ye4vmAhPctAAD1iV7KjkE358.jpg


wKiom1Ye4viDMv6bAAFkalIAyVM567.jpg


指定用这个证书加密的对象

wKioL1Ye4xvAinrfAADkW03VeTM468.jpg


完成证书的创建以后,退回到C:\Confidential 文件夹,打开加密的选项

wKiom1Ye4vug9dJ4AAHGTqbj3H4276.jpg

可以看见这个文件夹变成绿色了,然后在里面创建一个新的文件,他会自动用证书加密。

wKioL1Ye4x3w-Q0bAAF7IVIMUu0721.jpg



接下来,我需要创建一个DomainController的证书。登录到域控,从MMC添加Certificate SnapIn

然后发送一个证书请求

wKioL1Ye4yGCA4DzAAFPTOtHGl0887.jpg


wKiom1Ye4wKjZ-nAAACa06w8lb0383.jpg


wKioL1Ye4yPiveIkAACiFLlN8H0858.jpg

选择需要的证书类型

wKiom1Ye4wSyzOxOAADB0joO3s8085.jpg

成功签发

wKioL1Ye4yagq1fHAADuXg4a5Ow772.jpg



最后需要签发一个Web Server的证书。登录WEB1,打开IIS,Server Certificate里面可以进行请求

wKiom1Ye4wbigYZSAAEq_BDSjqo390.jpg


具体的步骤略

wKioL1Ye4yjQr-nPAAEHEFWcuKg519.jpg


成功导入证书后,然后绑定证书到https

wKiom1Ye4wnw0qj-AADRtcAx76g153.jpg


现在已经成功的签发了 EFS, Domain和 Web Server的证书了。

wKiom1Ye4wnBGmppAAD4gw9oJAM036.jpg


下一步我们来看看如何更新到CA2上。











本文转自 beanxyz 51CTO博客,原文链接:http://blog.51cto.com/beanxyz/1703035,如需转载请自行联系原作者

目录
相关文章
|
9月前
|
Shell 虚拟化 数据中心
加番 · 自定义vSphere证书
自上个月开始,陆续有客户和粉丝私信:由于vCenter证书过期,出现无法访问控制台的情况。其实这个问题在VMware KB(https://kb.vmware.com/s/article/79248)已经有非常详尽的描述。简单来说,从6.5U2版本以后,vCenter自签名证书有效期只有2年,需要定期更新。
|
Web App开发 存储 安全
|
1月前
|
存储 数据安全/隐私保护
制作苹果研发者证书和MAC的CSR证书
制作苹果研发者证书和MAC的CSR证书
20 0
|
1月前
|
存储 运维 Linux
自建CA生成证书详解
自建CA生成证书详解
71 1
|
网络安全
《阿里云产品手册2022-2023 版》——数字证书管理服务(原 SSL 证书)
《阿里云产品手册2022-2023 版》——数字证书管理服务(原 SSL 证书)
105 0
|
网络协议 网络安全
免费CA证书申请方法
免费CA证书申请方法,图文详解
10825 0
|
应用服务中间件 Linux 网络安全
|
SQL JavaScript 前端开发
|
数据建模 网络安全 数据安全/隐私保护
CA数字证书怎么用 CA数字证书收费标准
  CA数字证书也就是权威的CA机构颁发的SSL证书,可保护网站数据安全不被窃取、泄露,而且有利于SEO关键词优化,是网站安全解决方案之一。    一、CA数字证书怎么用    CA (Certificate Authority) :全称证书管理机构,即数字证书的申请、签发及管理机关。
3370 0