Cuestión : Certificate Authority 2003, 2008 raíces CA de la empresa

Currentky que funciona un bosque 2003 del servidor con una raíz y un dominio de niño.  Tenemos actual una raíz sola CA de la empresa del soporte en el dominio de niño que funciona en un emulador del servidor 2003 PDC.  Lo utilizamos para publicar los certs del usuario para la autentificación de dos niveles del SSL VPN.  Heredé este diseño y lo realizo que está estropeado en varios ways.

que quisiera ejecutar la raíz fuera de línea de dos niveles/en línea la publicación de la infraestructura del servidor 2008 R2 PKI del CA. El CERT actual de la raíz CA expira en 2011.  Necesito la nueva solución de los servicios del certificado CUANTO ANTES.    No quisiera la raíz CA de la empresa funcionara en un regulador del dominio, yo quisiera que fuera fuera de línea.  El regulador del dominio que es la raíz actual CA de la empresa se requiere para la autentificación de LDAP y necesita seguir siendo regulador del dominio.  

Can I: El
1) trae una raíz 2008 de la empresa del servidor CA en línea en el >same n de la " raya " del class= como el existing
2) mientras que mantiene el CA existente in place temporalmente para los applciations de la herencia y el then
3) elimina el CA viejo mientras que los usuarios comienzan a conseguir sus certs del usuario del nuevo CA.

Thanks para su suggestions.


class= del

Respuesta : Certificate Authority 2003, 2008 raíces CA de la empresa

Usted puede, pero generalmente al hablar de redundancia que usted la hace en el nivel subordinado y apenas que publica las mismas plantillas a ambos CAs en línea - flip-flop para la emisión y si uno no es disponible otra será, incluso si la renovación de un CERT del autoenrollment de eso fue publicada original del otro CA.

La raíz fuera de línea está allí por motivos de seguridad, no para de gran disponibilidad.  Es bastante fácil hacer las ventanas de reserva con el estado de sistema para recuperar correctamente la raíz si se da el caso, o si usted la instala en una VM a apenas de reserva la imagen a una impulsión dura externa que usted guarda up/offsited bloqueado.

Al crear respaldos usted debe respaldo la llave privada del CA y mantenerlo estupendo-asegurado trabado encima de en alguna parte.  En una situación del desastre usted puede después restaurar la llave privada del CA fall sobre la producción CA y utilizar el certutil - firmar el comando de re-sign el CRLs, el etc. mientras que usted está recuperando el CA.  Éste es también porqué él es una buena idea de publicar su CRLs vía la escritura (certutil - crl) vía la escritura en el período del CRL para tener en cuenta traslapo así que usted tiene tiempo para recuperarse de ediciones.  Más Info aquí:

http://www.pki101.com/BackupCA.html