none
2008r2域内,如何替换根ca? RRS feed

  • 问题

  • 1、原域内根ca为2003,从属ca为2008r2

    2、现在想用从属2008r2-ca或新建2008r2ca替代2003根ca,请问如何实现?

    3、一个域内,有2台根ca,域控等服务器自动申请证书会如何选取?



    2019年7月19日 2:52

答案

  • 尊敬的客户,您好!

    以下是对我们问题的回复:

    >>1.计算机证书,模板默认是1年有效期,我现在a计算机上手动申请了一张计算机证书,如何可以做到1年到期前,a计算机自动续订该证书?

    过期的证书是无法自动续订的,必须重新申请。那么根据我们的描述, 想要续订未过期的证书,我们可以这样操作:

    (1)先把证书模板分配读取,写入,注册和自动注册的权限;
    (2)手动申请好证书;
    (3)根据这个文档配置自动续订的GPO(用户证书和计算机证书需要分别配置)--Set Up Automatic Certificate Enrollment (Autoenroll) ,如果需要自动续订域内的所有证书,那么可以把这个GPO链接到整个域;
    (4)等到自动续订的时间到的话,就会自动续订证书。

    How Certificates Work文档中我们可以看出证书模板上的更新期的解释:



    更新期。如果证书模板支持重新注册,则续订证书的有效期到期之前的时间。默认情况下,最短续订期限为证书有效期的80%或6周,以较大者为准。

    从这个三方的文档中Tips for Certificate Auto-Enrollment Issuance,我们剋更好地理解什么时间进行更新证书。

    更新。这是自动注册过程中最容易被误解的部分。颁发的每份证书都有续订期,作为模板的一部分。这并不一定意味着证书将在该期间的确切开始时续订。对于自动注册证书的续订,在执行操作之前存在两个时间帧。

    首先,证书必须完成其有效期的80%并且在续订期内。

    举例来说,有效期为1年的证书在41.5周左右达到80%的标记,如果证书有6周的续约期,则续约将在46周期间进行。因此,这将在续订期间发生。
    如果有效期为6个月,则80%标记为第21周,但续订期为第20周。

    这看起来很简单,但有时很混乱。

    >>2.证书模板权限里,自动注册是否等同于自动续订?

    是的。详细的请看问题1的回答。


    >>3.默认模板web服务器无法更改有效期,是因为?

    Windows CA生成的任何证书的有效期是这三个值中较小的一个:

    根CA服务器的生命周期
    证书模板中指定的值。
    CA服务器注册表中指定的值(默认为2年)。

    因此,即使您将证书模板有效期设置为10年,使用此模板颁发的证书在CA的默认设置下最长有效期为两年。


    >>4.我在客户端如何判断一个证书是受信任的?从证书所在区域来判断?已知受信任的根证书颁发机构是受信任的,除此之外还有?

    是的,如果客户端,用户或者服务信任他们的证书所在的根证书,那么根证书颁发的证书就是受信任的。

    我们可以这样理解信任一个颁发机构颁发的证书
    (1)确定这个证书是真实不是伪造的而且确实这个机构颁发的,可以通过证书的数字签名确定。
    (2)确定我们信任它的颁发机构,靠AIA获取这个颁发机构的证书,这样一层一层上去直到根证书。

    具体更详细的信息我们可以参考这个文档:Validating a Certificate


    >>5.域内发布的所有证书是在如下位置吗?这些证书不包含过期证书?

    OID文件夹里存储的是Windows存储库里的对象的ID,不是域内发布的所有证书。

    例如: 1.3.6.1.4.1.311.21.8.16392792.16294051.12141451.14290747.15265997.181.1.30
    在OID文件夹里,例如:




    那么证书的数据库存储在以下路径:%SystemRoot%\System32\Certlog folder
    具体可以参考这个文档:Certificate Directory



    提示:这个回答包含了第三方网站的内容。微软对这些网站的内容不做任何陈述。我们提供这些内容仅仅是为了您的便利。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月24日 11:22
    版主

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据我们的描述,我们的CA是两层CA, 根CA是2003,从属CA是2008 R2。如果是2层CA,通常根CA是独立CA,离线的,没有加入域里,甚至不联网的;从属CA是企业CA,加入域的,并且是在线联网的。请问我们是这样的环境吗?

    根据我的理解,现在我们想把根CA从2003迁移到2008 R2,从属CA保持不变。

    2.现在想用从属2008r2-ca或新建2008r2ca替代2003根ca,请问如何实现?

    建议新建一台2008 R2服务器,然后按照以下文档和相似的案子进行迁移。
    如果我们的根CA本来就是离线的,没有加域的,独立的(或者企业的),那么迁移后的根CA也应该是离线的,没有加域的,独立的(或者企业的)。


    3.一个域内,有2台根ca,域控等服务器自动申请证书会如何选取?
     
    因为自动续订证书是证书模板的权限,证书模板在企业CA上配置,并应用于接受或拒绝传入证书请求。 只有企业CA才能根据证书模板颁发证书。

    (1)如果手动申请证书,我们可以选择颁发证书的CA;





    (2)如果自动申请证书,那么看我们的CA上是否颁发了这样的证书模板。在我们现在的情况下,根CA迁移了,但是颁发CA不变,那么证书模板还是在颁发CA上。

    (3)如果是一层CA,且有多个CA的话,那么相同的证书模板只颁发到指定的CA上,那么自动注册的时候就会找指定的CA注册证书。


    参考文档:
    提示:迁移CA的每一个小步骤都包含很多操作,请先在测试环境中测试,以免我们在生产环境中遇到问题,可以更好地解决。如果在测试环境中没有任何问题后,我们再在生产环境中操作。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月22日 10:36
    版主
  • 十分感谢您的耐心回答,

    1、如您所说,自动注册续订是根据模板设置,我在ca服务器更改了模板的自动注册权限设置,之前该模板发布的证书是否也会受影响做相应更改?还是只会影响之后根据这个模板颁发的证书?

    2、如下图证书模板常规选项卡中有一个勾选项  在activedirectory发布证书,这个是什么意思?在ad中发布之后的作用是什么?我如何可以看到域内所有发布的证书?

    3、是否有ps命令或什么地方可以看到域内注册的所有ca服务器信息以及所有在activedirectory发布的证书?

    4、如下图,域内default domain policy组策略,默认情况下域内客户端信任证书区域到底是哪些?受信任的根证书颁发机构和其他哪些?




    2019年7月23日 2:36
  • 尊敬的客户,您好!

    不客气,感谢您的回复。

    以下是对我们问题的回复:

    1.如您所说,自动注册续订是根据模板设置,我在ca服务器更改了模板的自动注册权限设置,之前该模板发布的证书是否也会受影响做相应更改?还是只会影响之后根据这个模板颁发的证书?

    根据我在测试环境中的测试,我手动注册(或者叫手动续订)一个用户证书:

    (1)对于同样的证书模板,如果只是更改了证书模板的权限(即没有注册的权限),不管是否把此证书模板发布到CA,我都不可以手动注册对应的用户证书。
    (2)同样的证书模板,如果只是更改了证书模板的权限(即可以读取,写入,注册或者自动注册的权限),不管是否把此证书模板发布到CA,我都可以手动注册对应的证书。

    那么综上看来,只要更改了证书模板的权限,使用对应的证书模板请求的证书都会受到影响。


    2.如下图证书模板常规选项卡中有一个勾选项  在active directory发布证书,这个是什么意思?在ad中发布之后的作用是什么?我如何可以看到域内所有发布的证书?

    从以下这个微软的博客中我们可以看到这2个选项的作用以及举例说明。主要是避免让用户注册多个证书。
    根据以上博客的说明,我认为对于用户证书模板,我们建议勾选这2个选项:

    Publish certificate in Active Directory
    Do not automatically reenroll if a duplicate certificate exists in Active Directory

    但是对于计算机证书模板,我们不建议勾选这2个选项。这里有个案例说明为什么不建议计算机证书模板勾选这2个选项。
    Computer certificates enrolling multiple times

    对于用户证书,如果对应的用户证书模板勾选了以上2个选项,如果颁发了对应的用户证书,我们可以在域控上看到:即打开用户的属性,有一个Published Certificates选项卡看到这些证书。也就是这些用户证书发布到AD了。


    3.是否有ps命令或什么地方可以看到域内注册的所有ca服务器信息以及所有在active directory发布的证书?

    域内注册的所有ca服务器信息:因为在我们的环境中部署PKI层次结构时,有关PKI的所有信息都存储在ADSI Edit配置分区中。








    所有在active directory发布的证书:如上描述的方法。


    4.如下图,域内default domain policy组策略,默认情况下域内客户端信任证书区域到底是哪些?受信任的根证书颁发机构和其他哪些?

    在我的测试环境中,默认情况下default domain policy这个策略中的Public Key Policies下的所有策略都是没有任何配置的(不管是用户配置和计算机配置下,默认都没有任何配置)。


    我们可以把一台新的电脑加入域以后,打开客户端的mmc.exe,然后检查默认情况下,哪些文件夹下有信任的证书,那么这些证书就是我们客户端默认信任的根证书。

    提示:我的测试环与您的生产环境不一样,所以默认情况下,不同域里的客户端信任的根证书种类也不一样。



    温馨提示:您以上的截图如果是默认的域策略上的配置,应该是后来配置的。我们建议一个组策略对象只编辑一个组策略设置,同时不建议在默认的域策略和默认的域控制器策略这2个组策略对象上编辑其他的策略设置(除了刚安装好的域控的默认的策略)。




    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月23日 6:39
    版主
  • 再次谢谢您的回答,我还有几个问题

    1、计算机证书,模板默认是1年有效期,我现在a计算机上手动申请了一张计算机证书,如何可以做到1年到期前,a计算机自动续订该证书?

    2、证书模板权限里,自动注册是否等同于自动续订?

    3、默认模板web服务器无法更改有效期,是因为?

    4、我在客户端如何判断一个证书是受信任的?从证书所在区域来判断?已知受信任的根证书颁发机构是受信任的,除此之外还有?

    5、域内发布的所有证书是在如下位置吗?这些证书不包含过期证书?






    2019年7月23日 7:52
  • 尊敬的客户,您好!

    以下是对我们问题的回复:

    >>1.计算机证书,模板默认是1年有效期,我现在a计算机上手动申请了一张计算机证书,如何可以做到1年到期前,a计算机自动续订该证书?

    过期的证书是无法自动续订的,必须重新申请。那么根据我们的描述, 想要续订未过期的证书,我们可以这样操作:

    (1)先把证书模板分配读取,写入,注册和自动注册的权限;
    (2)手动申请好证书;
    (3)根据这个文档配置自动续订的GPO(用户证书和计算机证书需要分别配置)--Set Up Automatic Certificate Enrollment (Autoenroll) ,如果需要自动续订域内的所有证书,那么可以把这个GPO链接到整个域;
    (4)等到自动续订的时间到的话,就会自动续订证书。

    How Certificates Work文档中我们可以看出证书模板上的更新期的解释:



    更新期。如果证书模板支持重新注册,则续订证书的有效期到期之前的时间。默认情况下,最短续订期限为证书有效期的80%或6周,以较大者为准。

    从这个三方的文档中Tips for Certificate Auto-Enrollment Issuance,我们剋更好地理解什么时间进行更新证书。

    更新。这是自动注册过程中最容易被误解的部分。颁发的每份证书都有续订期,作为模板的一部分。这并不一定意味着证书将在该期间的确切开始时续订。对于自动注册证书的续订,在执行操作之前存在两个时间帧。

    首先,证书必须完成其有效期的80%并且在续订期内。

    举例来说,有效期为1年的证书在41.5周左右达到80%的标记,如果证书有6周的续约期,则续约将在46周期间进行。因此,这将在续订期间发生。
    如果有效期为6个月,则80%标记为第21周,但续订期为第20周。

    这看起来很简单,但有时很混乱。

    >>2.证书模板权限里,自动注册是否等同于自动续订?

    是的。详细的请看问题1的回答。


    >>3.默认模板web服务器无法更改有效期,是因为?

    Windows CA生成的任何证书的有效期是这三个值中较小的一个:

    根CA服务器的生命周期
    证书模板中指定的值。
    CA服务器注册表中指定的值(默认为2年)。

    因此,即使您将证书模板有效期设置为10年,使用此模板颁发的证书在CA的默认设置下最长有效期为两年。


    >>4.我在客户端如何判断一个证书是受信任的?从证书所在区域来判断?已知受信任的根证书颁发机构是受信任的,除此之外还有?

    是的,如果客户端,用户或者服务信任他们的证书所在的根证书,那么根证书颁发的证书就是受信任的。

    我们可以这样理解信任一个颁发机构颁发的证书
    (1)确定这个证书是真实不是伪造的而且确实这个机构颁发的,可以通过证书的数字签名确定。
    (2)确定我们信任它的颁发机构,靠AIA获取这个颁发机构的证书,这样一层一层上去直到根证书。

    具体更详细的信息我们可以参考这个文档:Validating a Certificate


    >>5.域内发布的所有证书是在如下位置吗?这些证书不包含过期证书?

    OID文件夹里存储的是Windows存储库里的对象的ID,不是域内发布的所有证书。

    例如: 1.3.6.1.4.1.311.21.8.16392792.16294051.12141451.14290747.15265997.181.1.30
    在OID文件夹里,例如:




    那么证书的数据库存储在以下路径:%SystemRoot%\System32\Certlog folder
    具体可以参考这个文档:Certificate Directory



    提示:这个回答包含了第三方网站的内容。微软对这些网站的内容不做任何陈述。我们提供这些内容仅仅是为了您的便利。


    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年7月24日 11:22
    版主