Pytanie : Świadectwo Władza 2003, 2008 Przedsięwzięcie Korzeniowy CA

Currentky serwer 2003 las z korzeń i jeden dziecko domena.  My obecnie mieć samodzielny Przedsięwzięcie Korzeń CA w the dziecko domena ten bieg na Serwer 2003 PDC Emulator.  My używać ono użytkownik pewnik dla dwa poziom SSL VPN uwierzytelnienie.  I dziedziczyć ten projekt i uświadamiać sobie ono uszkadzać w kilka ways.

I polubić dwa poziom Autonomiczny Korzeń/Online CA Serwer 2008 R2 PKI infrastruktura. The aktualny korzeń CA pewnik tracić ważność w 2011.  I potrzebować the nowy Świadectwo Usługa rozwiązanie NOWY.    I chcieć the Przedsięwzięcie Korzeń CA na Domena Kontroler, I chcieć ono autonomiczny.  The Domena Kontroler che być the aktualny przedsięwzięcie korzeń CA wymagać dla LDAP uwierzytelnienie i potrzeba domena kontroler.  

Can I:
1) Przynosić serwer 2008 Przedsięwzięcie Korzeniowy CA online w the same domain jako the existing
2) Podczas Gdy the istniejący CA na miejscu chwilowo dla spadek applciations i then
3) Wycofywać stopniowo the stary CA gdy użytkownik zaczynać ich użytkownik pewnik od the nowy CA.

Thanks dla twój suggestions.


Odpowiedź : Świadectwo Władza 2003, 2008 Przedsięwzięcie Korzeniowy CA

Ty móc, ale zazwyczaj gdy opowiadać o redundancja ty robić ono przy the podkomendny poziom i właśnie wydawać the ten sam szablon oba online CAs - klapek dla wydawanie i jeżeli jeden być dostępny the jeden być, nawet jeśli odnawiać autoenrollment pewnik od jeden oryginalnie wydawać od the inny CA.

The autonomiczny korzeń być tam  dla z powodu bezpieczeństwa, nie dla wysoki dostępność.  Ono być łatwy dosyć okno pomocniczy z system stan stosownie the korzeń jeżeli potrzeba być, lub jeżeli ty instalować ono w VM właśnie wsparcie the wizerunek zewnętrznie ciężki przejażdżka który ty utrzymywać zamknięty up/offsited.

Gdy tworzyć wsparcie ty musieć wsparcie the intymny klucz the CA i ono super-w górę gdzieś.  W katastrofa sytuacja ty móc wtedy the nieudany CA intymny klucz na the produkcja CA i the certutil - szyldowy rozkaz re-sign the CRLs, Etc. podczas gdy ty odzyskiwać the CA.  Zagadnienie być także dlaczego ono być dobry pomysł twój CRLs przez pismo (certutil - crl) przez pismo przy the half-life the CRL dla nasunięcie więc ty mieć czas od zagadnienie.  Więcej info tutaj:

http://www.pki101.com/BackupCA.html

Inne rozwiązania  
 
programming4us programming4us