Windows Server 2012で中間認証局を作成して使用しますか?
背景:サーバーOSはWindows Server 2012です。PowerShellに慣れるにつれて、GUIがインストールされます。セットアップはステージングであり、本番環境ではありません(まだ)。
(内部、ドメイン限定)ルートCAがインストールされています。ストレージを保護するためにルートCAをオフラインにしたいのですが、その前に、実際のライブのオンライン(int-RA-net)機能を引き継ぐことができる中間CAをセットアップしたいと思います。
どうすれば上記を行うことができますか?私は完全な答えがカバーすると思います
- 中間CA証明書要求の作成
- ドメインコントローラーへの中間CA証明書のインストール(現在、ルートCAとともにオンラインで既にインストールされている認証局の役割)
- 中間CAを使用して証明書を生成します(デモンストレーション目的でのみ、任意の使用証明書)
明らかに、この認証チェーンは、ドメイン外のコンピューターでは無効になります(自己信頼ルート-ルート証明書は一般的なサードパーティからのものではありません)。この最後の点は問題ではありません。
最近、エンタープライズオンラインルートCAから2層PKIに移行するプロセスを実行しました。通常、実行するプロセスには次の手順が含まれます。
- ドメインに参加しないサーバーをプロビジョニングし、ActiveDirectory証明書サービスをインストールします。スタンドアロンのオフラインルート証明書として構成します。
- ルートCAをフォレストに公開します。
- 2番目のサーバーをオンラインでプロビジョニングし、ドメインを参加させます。これを中間認証局として構成します。
- 中間CAからCSRを作成し、オフラインルートCAから証明書を発行するプロセスを実行します。
- 証明書テンプレートを新しい中間CAに移行し、元のPKIからテンプレートを削除します。 (これにより、中間CAからの新しい証明書の発行のみが開始され、元のCAから発行された証明書は無効になりません。)
- ここから、すべての証明書の有効期限が切れるまで古いCAをそのままにしておくか、ネットワークシステムに新しいPKIへの再登録を強制するプロセスを実行するかを決定できます。
マイクロソフトのディレクトリサービスチームには素晴らしい これに関する高レベルのウォークスルー
詳細については、 これが私が従ったウォークスルーです。
さらに、 Technetガイドはこちら およびいくつかの プロセスの計画情報 。