最近豆子需要清理一下公司的PKI服务器。由于历史原因,公司之前内网里面搭建了2台Enterprise Root级别的CA服务器,老板让我再搭建一个新的,然后把之前的2台处理掉。微软的AD环境里面是允许同时搭建多个PKI结构的,不过这样导致的后果就是可能客户端申请证书的时候会随机申请一个,这样的后果是很难管理的。


经过一番研究,发现一般的处理流程如下:

  1. 安装新的CA

  2. 旧的CA上卸载掉Certificate Template(证书模板),这样就不能继续签发新的证书

  3. 新的CA上添加对应的模板

  4. 对于手动签发的证书可以手动的更新

  5. 对于自动Enroll的证书可以通过ReEnroll指向新的CA,这里需要配置对应的组策略

  6. 重复4-5,直到所有的证书都成功修改替换,最后关掉旧的CA

  7. 如果需要立刻关掉旧的CA,需要考虑延长CRL的时间


首先搭建了一个模拟环境来试试


基本环境:

2012 R2 域控 DC1

2012 R2 证书服务器 CA2 (新的CA)

2008 R2 证书服务器 CA1  (旧的CA)

2008 R2  网页服务器 WEB1

Window 7 客户端 Win7


wKioL1Ye4xOBfQ79AACWalPgcik289.jpg


实验流程:从CA1签发EFS证书 ,DomainController证书和 Web Server 证书,在对应的客户端进行配置; 然后安装CA2 为新的Root CA;手动更改证书到新的CA


接下来首先模拟签发的过程


首先在CA1上安装AD CS,过程略


安装成功以后可以通过IIS查看

wKiom1Ye4vPxFUjCAAMHVqVveSs917.jpg


接下来配置EFS的证书,EFS可以允许用户加密自己的文档。


登录Win7 客户端,控制面板

wKioL1Ye4xbijPCDAADrV-sWAtc880.jpg


创建一个新的证书

wKiom1Ye4vaS_tJbAAFUEFXQ-JA010.jpg


从域内的CA签发

wKioL1Ye4xigWBHlAAEhueUFcyo845.jpg


成功的从CA1签发

wKiom1Ye4vmAhPctAAD1iV7KjkE358.jpg


wKiom1Ye4viDMv6bAAFkalIAyVM567.jpg


指定用这个证书加密的对象

wKioL1Ye4xvAinrfAADkW03VeTM468.jpg


完成证书的创建以后,退回到C:\Confidential 文件夹,打开加密的选项

wKiom1Ye4vug9dJ4AAHGTqbj3H4276.jpg

可以看见这个文件夹变成绿色了,然后在里面创建一个新的文件,他会自动用证书加密。

wKioL1Ye4x3w-Q0bAAF7IVIMUu0721.jpg



接下来,我需要创建一个DomainController的证书。登录到域控,从MMC添加Certificate SnapIn

然后发送一个证书请求

wKioL1Ye4yGCA4DzAAFPTOtHGl0887.jpg


wKiom1Ye4wKjZ-nAAACa06w8lb0383.jpg


wKioL1Ye4yPiveIkAACiFLlN8H0858.jpg

选择需要的证书类型

wKiom1Ye4wSyzOxOAADB0joO3s8085.jpg

成功签发

wKioL1Ye4yagq1fHAADuXg4a5Ow772.jpg



最后需要签发一个Web Server的证书。登录WEB1,打开IIS,Server Certificate里面可以进行请求

wKiom1Ye4wbigYZSAAEq_BDSjqo390.jpg


具体的步骤略

wKioL1Ye4yjQr-nPAAEHEFWcuKg519.jpg


成功导入证书后,然后绑定证书到https

wKiom1Ye4wnw0qj-AADRtcAx76g153.jpg


现在已经成功的签发了 EFS, Domain和 Web Server的证书了。

wKiom1Ye4wnBGmppAAD4gw9oJAM036.jpg


下一步我们来看看如何更新到CA2上。




参考资料:

1.http://blogs.technet.com/b/askds/archive/2010/08/23/moving-your-organization-from-a-single-microsoft-ca-to-a-microsoft-recommended-pki.aspx

2.http://blogs.technet.com/b/pki/archive/2012/01/27/steps-needed-to-decommission-an-old-certification-authority-without-affecting-previously-issued-certificates-and-then-switching-all-operations-to-a-new-certification-authority.aspx