Frage : Certificate Authority 2003, 2008 Unternehmens-Wurzel CA

Currentky, das einen Bedienerwald 2003 mit einer Wurzel und einem Kindgebiet laufen lässt. Wir haben z.Z. eine Standplatz alleinunternehmens-Wurzel CA im Kindgebiet, das auf einen Nacheiferer des Bediener-2003 PDC läuft. Wir verwenden es, um Benutzer certs für zwei Authentisierung Reihe SSL-herauszugeben VPN. Ich übernahm diesen Entwurf und verwirkliche, dass er in einigen ways.

entstellt wird, das ich zwei Reihe die indirekte Wurzel/Infrastruktur des CA-Bedieners online herausgeben einführen möchte 2008 R2 PKI. Das gegenwärtige CERT der Wurzel CA läuft 2011 ab. Ich benötige die neue Bescheinigungs-Service-Lösung SO BALD WIE MÖGLICH. Ich wünsche die Unternehmens-Wurzel CA nicht auf einen Gebiets-Steuerpult laufen, ich wünsche ihn indirekt sein. Der Gebiets-Steuerpult, der die gegenwärtige Unternehmenswurzel CA ist, wird für LDAP Authentisierung angefordert und muss ein Gebietssteuerpult bleiben.

Can I:
1) holen eine Bediener Unternehmens-Wurzel 2008 CA online im same domain als das existing
2) beim den vorhandenen CA in place vorübergehend halten für Vermächtnis applciations und then
3) wickeln den alten CA ab, während Benutzer beginnen, ihre Benutzer certs vom neuen CA.

Thanks zu erhalten für Ihr suggestions.

Antwort : Certificate Authority 2003, 2008 Unternehmens-Wurzel CA

Sie können, aber normalerweise, wenn Sie über Redundanz sprechen, die Sie sie auf dem unterstellten Niveau tun und gerade die gleichen Schablonen zu beiden on-line-CAs herausgeben - sie flip-flop für Austeilung und wenn man nicht vorhandenes ist, ist andere, selbst wenn das Erneuern eines autoenrollment CERT von dem ursprünglich vom anderen CA herausgegeben.

Die indirekte Wurzel ist dort für Sicherheitsgründe, nicht für hohe Verwendbarkeit. Es ist einfach genug, die Fenster zu tun, die mit dem Systemszustand Unterstützungs sind, zum der Wurzel richtig wenn nötig, zurückzugewinnen oder, wenn Sie sie in eine VM zu gerade Unterstützungs das Bild zu einem externen Festplattenlaufwerk anbringen, dass Sie verschlossenes up/offsited halten.

Wenn Sie Unterstützungen verursachen, sollten Sie Unterstützung der private Schlüssel des CA und ihn zu halten Super-gesichert verriegelt herauf irgendwo. In einer Unfallsituation können Sie den ausfallen privaten Schlüssel des CA auf die Produktion CA dann wieder herstellen und das certutil benutzen - Befehl unterzeichnen re-sign das CRLs, das etc., während Sie den CA zurückgewinnen. Dieses ist auch warum es ist eine gute Idee, Ihr CRLs über Index (certutil - crl) über Index an der Halbwertzeit des CRL herauszugeben, um Deckung zuzulassen, also haben Sie Zeit, von Ausgaben zu erholen. Mehr Info hier:

http://www.pki101.com/BackupCA.html

Weitere Lösungen

Wort-Presse, die Frage bewirtet

asp.net: Mein Problem ist, benutze ich einen ajax Ergänzung Kalender, um BeginDate u. EndDate Werte einzutragen

Silverlight 4 UI Ereignisse

wie kann ich irgendeine Bildentschließung online ändern und sie zum lokalen PC dann innen sparen??

ZFS Sicherungshilfe Ubuntu 10.0.4 LTS

Form-Frage für Kristallreports

Betreffend INOTES in Lotos 8.5

Mühen, die ZWISCHEN Logik erhalten zu arbeiten

Spannungs-Sensor ermittelte einen Ausfall auf Bediener DELL-PowerEdge 2650

broadcom NIC teaming