Pergunta : Certificate Authority 2003, 2008 raizes CA da empresa

Currentky que funciona uma floresta 2003 do usuário com uma raiz e um domínio de criança. Nós temos atualmente uma raiz sozinha CA da empresa do carrinho no domínio de criança que funciona em um emulador do usuário 2003 PDC. Nós usamo-lo para emitir certs do usuário para dois a autenticação do SSL VPN da série. Eu herdei este projeto e realizo-o que flawed em diversos ways.

que eu gostaria de executar a raiz fora de linha de duas séries/em linha a emissão da infra-estrutura do usuário 2008 R2 PKI do CA. O CERT atual da raiz CA expira em 2011. Eu preciso a solução nova dos serviços do certificado O MAIS CEDO POSSÍVEL. Eu não quero a raiz CA da empresa funcionar em um controlador do domínio, mim quero-o ser fora de linha. O controlador do domínio que é a raiz atual CA da empresa é exigido para a autenticação de LDAP e precisa de permanecer um controlador do domínio.

Can I:
1) Trazer uma raiz 2008 da empresa do usuário CA em linha no >same n do " traço " do class= como o existing
2) ao manter o CA existente in place temporariamente para applciations do legado e fase do then
3) - o CA velho como usuários começa começ seus certs do usuário do CA.

Thanks para seu suggestions.

class= do

Resposta : Certificate Authority 2003, 2008 raizes CA da empresa

Você pode, mas geralmente ao falar sobre a redundância que você a faz a nível subordinado e apenas o emite os mesmos moldes a ambos os CAs em linha - flip-flop para a emissão e se um não é disponível outro serão, mesmo se renovar um CERT do autoenrollment daquele foi emitida original do outro CA.

A raiz fora de linha está lá para motivos de segurança, não para a disponibilidade elevada. É fácil bastante fazer as janelas alternativas com o estado de sistema para recuperar corretamente a raiz se a necessidade for, ou se você a instala em um VM a apenas alternativo a imagem a uma movimentação dura externa que você mantem up/offsited fechado.

Ao criar apoios você deve apoio a chave confidencial do CA e para mantê-lo em algum lugar ascendente fechado super-fixado. Em uma situação do disastre você pode então restaurar a chave confidencial do CA falh na produção CA e usar o certutil - assinar o comando re-sign o CRLs, etc. quando você recuperar o CA. Isto é igualmente porque ele é uma boa idéia emitir seu CRLs através do certificado (certutil - crl) através do certificado no half-life do CRL para permitir a sobreposição assim que você tem o tempo para recuperar das edições. Mais informação aqui:

http://www.pki101.com/BackupCA.html

Outras soluções

Perguntas da entrevista do certificado de Shell da festança

Como encontrar a contagem da fileira em Oracle DataReader em ASP.NET?

Excitador do bluetooth BCM2045 do inspiron 1720 de Dell para o profissional de Windows Xp.

Como conseguir o lightbox mostrar sobre a bandeira instantânea?

Fora do escritório o assistente que não trabalha w/Forwarding configurou

Redistribuindo o RASGO em subnets non-contiguous do OSPF.

líquidos de corpo após a sessão da natação

Criando um vbscript para a chave do registro - IRPStackSize