Questione : Certificate Authority 2003, 2008 radici CA di impresa

Currentky che fa funzionare una foresta 2003 dell'assistente con una radice ed un dominio di bambino. Attualmente abbiamo una radice sola CA di impresa del basamento nel dominio di bambino che funziona su un emulatore dell'assistente 2003 PDC. Lo usiamo per pubblicare i certs dell'utente per l'autenticazione a due stadi dello SSL VPN. Ho ereditato questo disegno e che realizzo che è incrinato in parecchi ways.

avrei voluto realizzare la radice fuori linea a due stadi/in linea la pubblicazione dell'infrastruttura dell'assistente 2008 R2 PKI di CA. Il CERT corrente della radice CA espira in 2011. Ho bisogno APPENA POSSIBILE di nuova soluzione di servizi del certificato. Non voglio la radice CA di impresa funzionare su un regolatore di dominio, io lo voglio essere fuori linea. Il regolatore di dominio che è la radice corrente CA di impresa è richiesto per l'autenticazione di LDAP e deve rimanere un regolatore di dominio.

Can I: Il
1) porta una radice 2008 di impresa dell'assistente CA in linea nel >same n " della sottolineatura " del class= come il existing
2) mentre mantiene il CA attuale in place temporaneamente per i applciations dell'eredità e il then
3) elimina il vecchio CA mentre gli utenti cominciano ottenere i loro certs dell'utente dal nuovo CA.

Thanks per il vostro suggestions.

class= del

Risposta : Certificate Authority 2003, 2008 radici CA di impresa

Potete, ma solitamente quando parla della sovrabbondanza che la fate al livello secondario ed appena che pubblicate le stesse mascherine ad entrambi i CAs in linea - flip-flop per l'emissione e se uno non è disponibile altra sarà, anche se rinnovare un CERT di autoenrollment da quello originale è stato pubblicato dall'altro CA.

La radice fuori linea è là per i motivi di sicurezza, non per alta disponibilità. È abbastanza facile da fare le finestre di sostegno con la condizione di sistema per recuperare correttamente la radice se necessario, o se la installate in un VM ad appena di sostegno l'immagine ad un azionamento duro esterno che mantenete up/offsited bloccato.

Nel generare i sostegni dovreste sostegno la chiave riservata del CA e mantenerlo alto bloccato eccellente-fissato in qualche luogo. In una situazione di disastro potete allora ristabilire la chiave riservata del CA guast sulla produzione CA ed utilizzare il certutil - firmare l'ordine re-sign il CRLs, ecc. mentre state recuperando il CA. Ciò è inoltre perché esso è una buona idea pubblicare il vostro CRLs via lo scritto (certutil - crl) via lo scritto al periodo radioattivo del CRL per tenere conto la sovrapposizione in modo da avete tempo di recuperare dalle edizioni. Più Info qui:

http://www.pki101.com/BackupCA.html

Altre soluzioni

Sysprepping Windows 7 pc

Ciclaggio complesso di domanda di Coldfusion

SPContext.Current sta restituendo la posizione di segnale minimo nell'alimentatore di evento “di SPItemEventReceiver„.

IL CSS che IL MIME errato scriv dentro Firefox a macchina su Apache, il testo/css .css di AddType è là

MAcbook pro rifiuta di collegarsi via Ethernet ma impianti via il wifi

Cliente del Java applet - Eccezione di sicurezza

Mostrare tutte le annotazioni nella domanda se niente selezionato in Listbox - la parte II

Mouseover su div.a cambia la disposizione di div.b (CSS puro)

Azionamento duro PowerEdge guast 1850 di incursione 1

asp - La risorsa non ha potuto essere trovata