Question : Certificate Authority 2003, 2008 racines CA d'entreprise

Currentky courant une forêt 2003 de serveur avec une racine et un domaine d'enfant.  Nous avons actuellement une seule racine CA d'entreprise de stand dans le domaine d'enfant qui fonctionne sur un émulateur du serveur 2003 PDC.  Nous l'employons pour publier des certs d'utilisateur pour l'authentification à deux niveaux de SSL VPN.  J'ai hérité de cette conception et la réalise qu'elle est fêlée dans plusieurs ways.

que je voudrais mettre en application la racine en différé à deux niveaux/publier en ligne l'infrastructure du serveur 2008 R2 PKI de CA. Le CERT courant de la racine CA expire en 2011.  J'ai besoin de la nouvelle solution de services de certificat AUSSITÔT QUE POSSIBLE.    Je ne veux pas la racine CA d'entreprise fonctionne sur un contrôleur de domaine, je veux qu'il soit en différé.  Le contrôleur de domaine qui est la racine courante CA d'entreprise est exigé pour l'authentification de LDAP et doit rester un contrôleur de domaine.  

Can I : Le
1) apportent une racine 2008 d'entreprise de serveur CA en ligne dans le >same n de " underline " de class= comme existing
2) tout en maintenant le CA existant in place temporairement pour des applciations de legs et le then
3) éliminent le vieux CA pendant que les utilisateurs commencent à obtenir leurs certs d'utilisateur à partir du nouveau CA.

Thanks pour votre suggestions.


 class= de

Réponse : Certificate Authority 2003, 2008 racines CA d'entreprise

Vous pouvez, mais habituellement en parlant de la redondance que vous la faites au niveau subalterne et fournissez juste les mêmes calibres aux deux CAs en ligne - ils flip-flop pour l'établissement et si on n'est pas disponible autre sera, même si le renouvellement d'un CERT d'autoenrollment de cela a été à l'origine publié de l'autre CA.

La racine en différé est là pour des raisons de sécurité, pas pour facilement disponible.  Il est assez facile de faire des fenêtres de secours avec l'état de système pour récupérer correctement la racine si besoin est, ou si vous l'installez dans une VM sur juste de secours l'image sur une unité de disque dur externe que vous gardez up/offsited verrouillé.

En créant des supports vous devriez support la clef privée du CA et le maintenir superbe-fixé verrouillé vers le haut de quelque part.  Dans une situation de désastre vous pouvez alors reconstituer la clef privée du CA failed sur la production CA et employer le certutil - signer la commande de re-sign le CRLs, etc. tandis que vous récupérez le CA.  C'est également pourquoi il est une bonne idée de publier votre CRLs par l'intermédiaire du manuscrit (certutil - crl) par l'intermédiaire du manuscrit à la demi vie du CRL pour tenir compte du chevauchement ainsi vous avez le temps pour récupérer des issues.  Plus d'information ici :

http://www.pki101.com/BackupCA.html
Autres solutions  
  •  MS Excel 2007 et pdf - l'exportation vers le pdf prend de longues heures !
    •
  •  Dans le Perl, comment j'ajoute une valeur à la liste, puis le contrôle pour voir si la valeur existent avant d'ajouter une nouvelle valeur
    •
  •  Comment fais j'initialiser de la HP BL460c G6 de san et de la HP XP 240000
    •
  •  Comment fais j'employer une clef de permis de volume sur un ordinateur de HP avec du CD de restauration
    •
  •  Emplacement primaire de deux SCCM dans l'annuaire actif
    •
  •  L'initiateur et la HP D2D de l'iSCSI R2 du serveur 2008 de Windows GERCENT l'issue
    •
  •  Stocker le dossier dans le mysql using connector.net et le champ de goutte
    •
  •  Carte vidéo d'USB - bit 32 sur le matériel travaillant au niveau du bit 64 ?
    •
  •  asp.net que j'essaye de convertir une forme de HTML en forme d'aspx ou ? ce qui jamais. Aide du besoin sur la façon dont à à elle.
    •
  •  Winzip 12 issues de secours du travail ?
    •
     
    programming4us programming4us