none
windows server ca迁移问题 RRS feed

  • 问题

  • 老ca服务器:oldca.test.com

    新ca服务器:newca.test.com

    迁移之前在老ca颁发的并已在其他服务器安装使用的证书的crl及aia检查访问路径还是老ca的?如何才能更新获取到newca上的新crl配置路径?

    补充:迁移后老ca服务器已下线停机,现其他服务器在迁移前颁发的证书,crl检查通过可以使用,这是为何?我查看那些证书的crl分发点信息,不管是ldap还是http均指向老ca,这是为何?求解



    2020年10月15日 8:02

答案

  • 尊敬的客户,您好,

    感谢你的发帖。

    迁移之前老CA颁发的证书还是会使用之前的CRL和AIA。默认情况下,Active Directory证书服务(AD CS)配置有证书吊销列表(CRL)分发点扩展,该扩展名在路径中包括CA计算机主机名。 这意味着在迁移之前由CA颁发的任何证书都可能包含包含旧主机名的证书验证路径。 迁移后,这些路径可能不再有效。 为避免吊销检查错误,必须将新的CA配置为将CRL发布到旧(迁移前)路径以及新路径。

    根据官方文档,迁移后,如果主机名发生更改的情况下,需要更新CRL和AIA,即添加所需的权限信息访问和CRL分发点扩展。如果源CA具有默认扩展名设置,那么添加一个新的CRL分发点扩展,以使CA可以将CRL发布到已颁发证书中包含原始CA的位置:ldap:///CN=CATruncatedNameCRLNameSuffix,CN=OriginalServerShortName,CN=CDP,CN=Public Key Services,CN=Services,ConfigurationContainerCDPObjectClass。然后用原始CA主机的简称替换OriginalServerShortName。

    参考文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc742471(v=ws.10)

    更新后我们需要重新发布CRL,使得这些更新生效。

    以下是我环境中的扩展名设置,包含注册表的设置和extensions下的设置。









    请问我们有尝试过重新颁发CRL吗?



    迁移后,如果使用新CA颁发证书的话,这些证书的crl检查可以通过吗?

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2020年10月16日 6:45
    2020年10月16日 6:15

全部回复

  • 尊敬的客户,您好,

    感谢你的发帖。

    迁移之前老CA颁发的证书还是会使用之前的CRL和AIA。默认情况下,Active Directory证书服务(AD CS)配置有证书吊销列表(CRL)分发点扩展,该扩展名在路径中包括CA计算机主机名。 这意味着在迁移之前由CA颁发的任何证书都可能包含包含旧主机名的证书验证路径。 迁移后,这些路径可能不再有效。 为避免吊销检查错误,必须将新的CA配置为将CRL发布到旧(迁移前)路径以及新路径。

    根据官方文档,迁移后,如果主机名发生更改的情况下,需要更新CRL和AIA,即添加所需的权限信息访问和CRL分发点扩展。如果源CA具有默认扩展名设置,那么添加一个新的CRL分发点扩展,以使CA可以将CRL发布到已颁发证书中包含原始CA的位置:ldap:///CN=CATruncatedNameCRLNameSuffix,CN=OriginalServerShortName,CN=CDP,CN=Public Key Services,CN=Services,ConfigurationContainerCDPObjectClass。然后用原始CA主机的简称替换OriginalServerShortName。

    参考文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc742471(v=ws.10)

    更新后我们需要重新发布CRL,使得这些更新生效。

    以下是我环境中的扩展名设置,包含注册表的设置和extensions下的设置。









    请问我们有尝试过重新颁发CRL吗?



    迁移后,如果使用新CA颁发证书的话,这些证书的crl检查可以通过吗?

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2020年10月16日 6:45
    2020年10月16日 6:15
  • 感谢您的回答,新签发的证书可以通过crl检查
    2020年10月16日 6:46