PKI 从 2008 R2 迁移到 2022

问题描述 投票:0回答:1

我们有一个内部 PKI 基础设施,它是通过 NDES (Windows Server 2008 R2) 实现的 CA/OCSP 和 SEP 的组合。 CA 拥有 50k 多个远程 IoT 中心和设备的证书,并使用这些证书进行工作。有问题的设备不是域的一部分,也不具备自动获取新证书的能力(需要手动干预)。我们正在将服务器从 2008 R2 迁移到 2022。在此过程中,我的团队告诉我他们也在更改域名(内部政治)。

示例:

  1. 将 CA 数据库从 2008 R2 迁移到 2022 - 此操作已成功。他们已经能够成功备份和恢复。
  2. 域名变更会影响吗?如果没有任何特殊配置(例如跨林证书注册),OCSP 是否会继续运行?

数据库迁移完成。 想验证验证是否不是新名称的问题。

certificate pki
1个回答
0
投票

您可以使用链接中的程序作为参考:

https://learn.microsoft.com/en-us/troubleshoot/windows-server/certificates-and-public-key-infrastruct-pki/move-certification-authority-to-another-server

由于 Active Directory 域名将更改,新 CA 将成为新 AD 域的成员。要点是:

  • 将在新的 AD 林/域中安装的 CA 应具有相同的密钥、CA 名称和类型
  • CA 模板也应该迁移
  • NDES 注册机构名称应相同,以便设备不应重新配置。
  • 如果定义了 NDES 服务帐户,则应使用当前 CA 和证书模板上的现有权限在新域中重新定义它。
  • 如果设备寻找 LDAP CRL 点,您可能必须保留原始 AD 域,并且在新域 CA 上,您应该添加针对旧 LDAP URL 的 LDAP CRL 发布点。
  • 您可能必须更改新域中的 OCSP URI 位置才能保留原始名称。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.