Vraag : De Instantie 2003, CA van het certificaat van de Wortel van de Onderneming van 2008

Currentky die een server 2003 bos met een wortel en één kinddomein in werking stellen.  Wij hebben momenteel CA van de Wortel van de tribune alleen Onderneming in het kinddomein dat op een Server 2003 Mededinger PDC loopt.  Wij gebruiken het aan kwestiegebruiker certs voor SSL VPN authentificatie op twee niveaus.  Ik erfte dit ontwerp en realiseer het in verscheidene ways.

ontsierd is die ik zou willen om Off-line Wortel op twee niveaus/online het uitgeven van CA Server 2008 uitvoeren R2 de infrastructuur van PKI. Huidige wortelCA cert verloopt in 2011.  Ik heb ZO VLUG MOGELIJK nodig de nieuwe oplossing van de Diensten van het Certificaat.    Ik wil niet CA van de Wortel van de Onderneming op een Controlemechanisme van het Domein lopen, wil ik het off-line zijn.  Het controlemechanisme van het Domein wordt dat huidige CA is van de ondernemingswortel vereist voor authentificatie LDAP en moet een domeincontrolemechanisme blijven.  

Can I:
1) brengt CA van de Wortel van de server 2008 Onderneming in same domain als existing
2) terwijl op zijn plaats tijdelijk het houden van bestaande CA voor erfenisapplciations en then
3) Geleidelijke afschaffing oude CA als gebruikers begint om hun gebruiker certs van nieuwe CA.

Thanks voor uw suggestions.


te krijgen

Antwoord : De Instantie 2003, CA van het certificaat van de Wortel van de Onderneming van 2008

U kunt, maar wanneer het spreken over overtolligheid doet u het gewoonlijk op het ondergeschikte niveau en geeft enkel de zelfde malplaatjes aan zowel online CAs uit - zij zullen wipschakelaar voor uitgifte en als men geen beschikbare is zal andere zijn, zelfs als vernieuwend een autoenrollment cert van dat oorspronkelijk CA. werd uitgegeven van andere.

De off-line wortel is daar voor veiligheidsoverwegingen, niet voor hoge beschikbaarheid.  Het is gemakkelijk genoeg om een venstersfile met systeemstaat te doen de wortel behoorlijk terugkrijgen indien noodzakelijk, of als u het in VM aan enkel reserve het beeld aan een externe harde aandrijving installeert dat u gesloten up/offsited houdt.

Wanneer het creëren van files zou u file de privé sleutel van CA en het super-beveiligd houden ergens omhoog gesloten moeten.  In een rampensituatie kunt u de ontbroken CA privé sleutel op productieCA dan herstellen en certutil gebruiken - onderteken bevel om CRLs, enz. af te treden terwijl u CA. terugkrijgt.  Dit is ook waarom het een goed idee is om uw CRLs via manuscript (certutil - crl) via manuscript bij de halveringstijd van CRL uit te geven om voor overlapping toe te staan zodat hebt u tijd om van kwesties terug te krijgen.  Meer info hier:

http://www.pki101.com/BackupCA.html

Andere oplossingen  
 
programming4us programming4us