Вопрос : Авторитет 2003 сертификата, 2008 корней CA предпринимательства

Currentky пуща 2003 сервера с корнем и одним доменом ребенка.  Мы в настоящее время имеем корень CA предпринимательства стойки один в домене ребенка бежит на эмуляторе сервера 2003 PDC.  Мы используем его для того чтобы выдать certs потребителя для 2 удостоверения подлинности SSL VPN яруса.  Я унаследовал эту конструкцию и осуществляю он треснут в нескольких ways.

, котор я хотел был бы снабдить корень 2 ярусов автономный/он-лайн выдавая инфраструктуру сервера 2008 R2 PKI CA. В настоящее время cert CA корня теряет силу в 2011.  Мне нужно новое разрешение обслуживаний сертификата КАК МОЖНО СКОРЕЕ.    Я не хочу корень CA предпринимательства побежать на регуляторе домена, я хочу его быть автономен.  Регулятору домена будет в настоящее время корнем CA предпринимательства необходим для удостоверения подлинности LDAP и нужно остать регулятором домена.  

Can iий:
1) приносит корень 2008 предпринимательства сервера CA он-лайн в same domain " underline " class= как existing
2) пока держащ существующий CA в месте временно на applciations наследия и участок then
3) - вне старый CA как потребители начинает получить их certs потребителя от нового CA.

Thanks для вашего suggestions.


 class=

Ответ : Авторитет 2003 сертификата, 2008 корней CA предпринимательства

Вы можете, но обычно говоря о дублировании, котор вы делаете его на субординационном уровне и как раз выдаете такие же шаблоны к обоим он-лайн CAs - они будут кувырок для выпуска и если один не имеющееся, то другой будет, даже если возобновлять cert autoenrollment от того первоначально было выдан от другого CA.

Автономный корень там для соображений безопасности, не для высокого наличия.  Легко достаточно сделать окна резервные с положением системы правильн для того чтобы взять корень если потребность, или если вы устанавливаете его в VM к как раз резервному изображение к внешнему жесткию диску, то что вы держите запертое up/offsited.

Создавая подпорки вы подпорка приватный ключ CA и держать его супер-обеспеченное запертое поднимающее вверх где-то.  В ситуации бедствия вы можете после этого восстановить ключа неудачный CA приватный на продукцию CA и использовать certutil - подпишите командование для того чтобы re-sign CRLs, etc. пока вы берете CA.  Это также почему оно будет хорошей идеей выдать ваше CRLs через сценарий (certutil - crl) через сценарий на полувыведении CRL к прибавлять на перекрытие поэтому вы имеете время взять от вопросов.  Больше info здесь:

http://www.pki101.com/BackupCA.html
Другие решения  
  •  Как я добавляю кнопки на форме PDF для того чтобы добавить/извлекаю рядки данных?
    •
  •  Шнур ошибки в блоке задвижки?
    •
  •  сколько вариант сервера SQL на одной машине
    •
  •  Внешний вид 2007 не может архивный файл открытой сети сохраненный
    •
  •  Активно директория DNS записывает вопрос
    •
  •  Отчет о доступа 2010 экспорта к CSV с коллекторами?
    •
  •  Прокладчик OCE 9400 не начинает
    •
  •  как добавить десятичное место в формуле в отчете о кристалла seagate
    •
  •  Windows XP и Мичрософт Оутлоок и проблемы установителя Windows
    •
  •  VB6 к VS2010 - консультации тренировки?
    •
     
    programming4us programming4us