web-dev-qa-db-ja.com

Windows Server 2012で中間認証局を作成して使用しますか?

背景:サーバーOSはWindows Server 2012です。PowerShellに慣れるにつれて、GUIがインストールされます。セットアップはステージングであり、本番環境ではありません(まだ)。

(内部、ドメイン限定)ルートCAがインストールされています。ストレージを保護するためにルートCAをオフラインにしたいのですが、その前に、実際のライブのオンライン(int-RA-net)機能を引き継ぐことができる中間CAをセットアップしたいと思います。

どうすれば上記を行うことができますか?私は完全な答えがカバーすると思います

  • 中間CA証明書要求の作成
  • ドメインコントローラーへの中間CA証明書のインストール(現在、ルートCAとともにオンラインで既にインストールされている認証局の役割)
  • 中間CAを使用して証明書を生成します(デモンストレーション目的でのみ、任意の使用証明書)

明らかに、この認証チェーンは、ドメイン外のコンピューターでは無効になります(自己信頼ルート-ルート証明書は一般的なサードパーティからのものではありません)。この最後の点は問題ではありません。

1
DeepSpace101

最近、エンタープライズオンラインルートCAから2層PKIに移行するプロセスを実行しました。通常、実行するプロセスには次の手順が含まれます。

  1. ドメインに参加しないサーバーをプロビジョニングし、ActiveDirectory証明書サービスをインストールします。スタンドアロンのオフラインルート証明書として構成します。
  2. ルートCAをフォレストに公開します。
  3. 2番目のサーバーをオンラインでプロビジョニングし、ドメインを参加させます。これを中間認証局として構成します。
  4. 中間CAからCSRを作成し、オフラインルートCAから証明書を発行するプロセスを実行します。
  5. 証明書テンプレートを新しい中間CAに移行し、元のPKIからテンプレートを削除します。 (これにより、中間CAからの新しい証明書の発行のみが開始され、元のCAから発行された証明書は無効になりません。)
  6. ここから、すべての証明書の有効期限が切れるまで古いCAをそのままにしておくか、ネットワークシステムに新しいPKIへの再登録を強制するプロセスを実行するかを決定できます。

マイクロソフトのディレクトリサービスチームには素晴らしい これに関する高レベルのウォークスルー

詳細については、 これが私が従ったウォークスルーです。

さらに、 Technetガイドはこちら およびいくつかの プロセスの計画情報

5
Byron C.