Cross-certificare cu CA de migrare - extensiile PKI

Uneori, când migrarea CA decide să nu sprijine PKI anterior. Acest lucru este, de obicei, din diverse motive. De exemplu, greșeli incorecte și fatale în configurația inițială a CA, incapacitatea de a efectua corect migrația, necesitatea de a reconfigura CA, care necesită crearea unui nou CA, etc. de obicei, face în astfel de cazuri deoarece:

  • paralel un alt set CA și a șterge cel vechi. În același timp, certificatele CA anterioare nu sunt acceptate, și doar scoase din circulație (de obicei, nu se întâmplă nimic pentru ei, și numai să nu mai funcționeze, deoarece CA nu mai publică CRL'y și verificarea acestor certificate nu reușesc). Această metodă este folosită în cazul în care numărul de certificate emise de aceeași CA este mică și poate fi neglijată și certificate de emitere.
  • paralel stabilit încă o CA, face eco-certificare a AC vechi și scoateți-l. În același timp, certificatele CA anterioare sunt menținute și folosite în lucrare. În absența CA anterioare, trebuie să se asigure în plus validarea cu succes a tuturor certificatelor emise anterior.

În cazul în care prima metodă este simplă și banal, al doilea necesită deja acțiuni suplimentare de către administrator. Această publicație CRL cu aproape nici de întreținere CA eliminate și fișierele CRT pentru construirea de lanțuri de certificate. Și în acest caz, vechea PKI PKI face parte din nou în detrimentul eco-certificare. Mai întâi, trebuie să ia în considerare că o astfel de eco-certificare. Cross-certificare - procesul de asigurare a unei ierarhii PKI pe de altă ierarhie PKI. În acest caz, un certificat PKI va fi parte zavereyamoy PKI. Luați în considerare un exemplu simplu:

Există o ierarhie a CA rădăcină Contoso-CA1 și subordonat Contoso-CA2. Creați o nouă ierarhie constând din Adatum-CA1 și Adatum-CA2. În acest caz, puteți face eco-certificare între Adatum-CA2 și Contoso-CA1 sau Contoso-CA2:

În primul caz, lanțul de certificate pentru un certificat eliberat la Contoso-CA2 va arata astfel:

Adatum-CA1
Adatum-CA2
Contoso-CA1
Contoso-CA2
EndCert

După cum puteți vedea, clientul nu se bazează în mod explicit pe Contoso-CA1, dar numai Adatum-CA1. Datorită eco-certificare a lanțului va începe la Contoso ierarhie și se încheie în ierarhia Adatum.

În al doilea caz, lanțul de certificate pentru un certificat eliberat la Contoso-CA2 va arata astfel:

Adatum-CA1
Adatum-CA2
Contoso-CA2
EndCert

În principiu, puteți face mai mult, și asta e asta:

În primul caz, lanțul de certificate pentru un certificat eliberat la Contoso-CA2 va arata astfel:

Adatum-CA1
Contoso-CA1
Contoso-CA2
EndCert

În al doilea caz, lanțul de certificate pentru un certificat eliberat la Contoso-CA2 va arata astfel:

Adatum-CA1
Contoso-CA2
EndCert

În general, o mulțime de opțiuni, iar alegerea poate fi dictat de special deoarece cerințele specifice și preferințele personale. Personal, prefer să fac o eco-certificate, astfel încât în ​​cele din urmă a obține cel mai scurt lanț, dar, dacă este posibil, fără a include în ea certificate rădăcină suplimentare. Prin urmare, opțiunea cea mai preferată pentru mine ar fi a doua opțiune, în prima imagine:

În cazul nostru, vom crea o nouă ierarhie Adatum și, treptat, a scăpa de Contoso. Este important să se țină seama de faptul că dezmembrarea autorităților de certificare vechi pot fi efectuate numai după instalarea completă o nouă ierarhie PKI.

Acum trebuie să adăugați modelele dorite în CA. emitent Pentru a face acest lucru:

  1. Conectați-vă la server CA numit Adatum-CA2 cu privilegii Enterprise Admins.
  2. Apăsați pe Start. Instrumente de administrare, apoi faceți clic pe Autoritatea de certificare.
  3. Evidențiați o secțiune a Șabloane certificat, apoi faceți clic pe Nou -> șablon de certificat pentru a emite.
  4. În listă, selectați nou creat Cross-semnarea și Autoritatea de Certificare Cross, și apoi faceți clic pe Add.

Acum, să solicite un certificat pe baza șablonului Cross-semnarea. Acest certificat, va trebui să semneze pe baza Cross Autorității de Certificare interogări șablon certificat.

[Version]
Semnătura = $ WindowsNT $

[RequestAttributes]
CertificateTemplate = CrossCA

Apoi, copiați certificatul CA Contoso-CA2 pe discul local. Inițiază un prompt de comandă și executați următoarea comandă:

În caseta de dialog, selectați fișierul certificatului Contoso-CA2 și faceți clic pe Deschidere. În caseta de dialog al doilea, selectați fișierul policy.inf creat și faceți clic pe Deschidere. După aceea, va apărea fereastra de selecție de semnare a certificatului. După specificarea certificatului de semnare, faceți clic pe OK și introduceți calea de locație și numele cererii de certificat. După aceea, executați următoarea comandă:

certreq calea fie la prezentarea \ cross.req

în cazul în care calea \ cross.req - plasarea calea de interogare și numele de fișier pentru cross-certificat. Dacă vedeți o casetă de dialog de selecție a serverului CA, selectați cel a cărui extrădare este Crucea șablon de autoritate de certificare și faceți clic pe OK.

  1. Conectați-vă la server CA numit Adatum-CA2 cu drepturile și Enterprise Admins Administrator CA.
  2. Apăsați pe Start. Instrumente de administrare, apoi faceți clic pe Autoritatea de certificare.
  3. secțiunea Evidențiați Cereri în așteptare. Derulați în jos la ultima solicitare, apoi faceți clic pe problemă. Pre vă puteți asigura că solicitarea a fost primită în mod corect și toate datele sunt corecte.
  4. Du-te Certificate secțiunea Eliberat. Găsiți ultimul certificat (trebuie să fie nostru eco-certificat) și de export-l la fișierul CER.

dacă deschideți fila Certificat și căutați calea de certificare, puteți vedea că lanțul de certificate nu se termină cu Contoso-CA1, și pe Adatum-CA1. În consecință, pentru încrederea certificatului, precum și prezența Contoso-CA1 nu mai este necesară.

În această etapă, un ultim pas - publicarea unui cross-certificat în Active Directory. Pentru a face acest lucru, deschideți un prompt de comandă cu privilegii ridicate (selectând Executare ca administrator din meniul contextual pictograma Prompt comandă) și rulați-l următoarea comandă:

certutil -dspublish calea -f \ cross.cer

în cazul în care calea \ cross.cer - calea de cazare și nume de fișier cross-certificat.

cd c: \ windows \ system32 \ certsrv \ certenroll \
certutil -sign .crl 1.crl acum + 1825: 00
certutil -sign + .crl 1 + .crl acum + 1825: 00

Notă: ar trebui să elimine numai obiectele legate demontabilă CAs. În caz contrar, puteți elimina obiecte și noi CA. de operare