windows server ca迁移问题
问题
答案
-
尊敬的客户,您好,
感谢你的发帖。
迁移之前老CA颁发的证书还是会使用之前的CRL和AIA。默认情况下,Active Directory证书服务(AD CS)配置有证书吊销列表(CRL)分发点扩展,该扩展名在路径中包括CA计算机主机名。 这意味着在迁移之前由CA颁发的任何证书都可能包含包含旧主机名的证书验证路径。 迁移后,这些路径可能不再有效。 为避免吊销检查错误,必须将新的CA配置为将CRL发布到旧(迁移前)路径以及新路径。
根据官方文档,迁移后,如果主机名发生更改的情况下,需要更新CRL和AIA,即添加所需的权限信息访问和CRL分发点扩展。如果源CA具有默认扩展名设置,那么添加一个新的CRL分发点扩展,以使CA可以将CRL发布到已颁发证书中包含原始CA的位置:ldap:///CN=CATruncatedNameCRLNameSuffix,CN=OriginalServerShortName,CN=CDP,CN=Public Key Services,CN=Services,ConfigurationContainerCDPObjectClass。然后用原始CA主机的简称替换OriginalServerShortName。
参考文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc742471(v=ws.10)
更新后我们需要重新发布CRL,使得这些更新生效。
以下是我环境中的扩展名设置,包含注册表的设置和extensions下的设置。
请问我们有尝试过重新颁发CRL吗?
迁移后,如果使用新CA颁发证书的话,这些证书的crl检查可以通过吗?
如有问题,请随时联系我们。
此致,
Hannah XiongPlease remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已标记为答案 nelson2004 2020年10月16日 6:45
全部回复
-
尊敬的客户,您好,
感谢你的发帖。
迁移之前老CA颁发的证书还是会使用之前的CRL和AIA。默认情况下,Active Directory证书服务(AD CS)配置有证书吊销列表(CRL)分发点扩展,该扩展名在路径中包括CA计算机主机名。 这意味着在迁移之前由CA颁发的任何证书都可能包含包含旧主机名的证书验证路径。 迁移后,这些路径可能不再有效。 为避免吊销检查错误,必须将新的CA配置为将CRL发布到旧(迁移前)路径以及新路径。
根据官方文档,迁移后,如果主机名发生更改的情况下,需要更新CRL和AIA,即添加所需的权限信息访问和CRL分发点扩展。如果源CA具有默认扩展名设置,那么添加一个新的CRL分发点扩展,以使CA可以将CRL发布到已颁发证书中包含原始CA的位置:ldap:///CN=CATruncatedNameCRLNameSuffix,CN=OriginalServerShortName,CN=CDP,CN=Public Key Services,CN=Services,ConfigurationContainerCDPObjectClass。然后用原始CA主机的简称替换OriginalServerShortName。
参考文档:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc742471(v=ws.10)
更新后我们需要重新发布CRL,使得这些更新生效。
以下是我环境中的扩展名设置,包含注册表的设置和extensions下的设置。
请问我们有尝试过重新颁发CRL吗?
迁移后,如果使用新CA颁发证书的话,这些证书的crl检查可以通过吗?
如有问题,请随时联系我们。
此致,
Hannah XiongPlease remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.- 已标记为答案 nelson2004 2020年10月16日 6:45
