Cross-сертифициране с ва миграция - PKI разширения

Понякога, когато мигрират Калифорния реши да не подкрепи предишния PKI. Това обикновено се дължи на различни причини. Например, неправилни и фатални грешки в първоначалната конфигурация на CA, невъзможността да се извършват правилно миграцията, необходимостта да се преконфигурира ТЗ, което изисква създаването на нов Калифорния, и т.н. обикновено се прави в такива случаи, защото:

  • паралелни зададете друга Калифорния и изтриване на стария. В същото време на предишните сертификати от сертифициращи органи не се поддържат, а просто извадени от обращение (обикновено нищо не се случва с тях, а само да престане да работи, защото Калифорния вече не публикува CRL'y и проверка на такива сертификати не успеят). Този метод се използва, когато броят на сертификати, издадени от един и същ СО е малък и може да се пренебрегне и сертификати за повторно издаване.
  • паралелно се определят по един CA, прави кръстосана сертификация на стария ТЗ и да го премахнете. В същото време на предишните сертификати от сертифициращи органи са поддържани и използвани в работата. При липса на предходната СО, трябва допълнително да се гарантира успешното утвърждаване на всички предварително издадени сертификати.

Ако първият метод е прост и тривиален, вторият вече изисква по-нататъшни действия от страна на администратора. Тази публикация CRL почти без поддръжка на премахнати СО и CRT файлове за изграждане на вериги за сертификати. И в този случай старата PKI PKI е част от новата сметка на напречното сертифициране. Първо трябва да се помисли, че такова кръстосано сертифициране. Cross-сертифициране - процесът на осигуряване на един PKI йерархия на другата PKI йерархия. В този случай заверено PKI ще бъде част zavereyamoy PKI. Помислете за един прост пример:

Съществува йерархия на Калифорния корен Contoso-CA1 и подчинен Contoso-CA2. Можете да създадете нова йерархия, състояща се от Adatum-CA1 и Adatum-CA2. В този случай, можете да направите кръстосана сертификация между Adatum-CA2 и Contoso-CA1 или Contoso-CA2:

В първия случай веригата на удостоверение за удостоверение, издадено на Contoso-Ca2 ще изглежда така:

Adatum-CA1
Adatum-CA2
Contoso-CA1
Contoso-CA2
EndCert

Както можете да видите, че клиентът не е изрично се позовава на Contoso-CA1, но само Adatum-CA1. Поради кръстосана сертификация верига ще започне в Contoso йерархия и приключи в йерархията Adatum.

Във втория случай, веригата на удостоверение за удостоверение, издадено на Contoso-Ca2 ще изглежда така:

Adatum-CA1
Adatum-CA2
Contoso-CA2
EndCert

По принцип можете да направите повече, и това е така:

В първия случай веригата на удостоверение за удостоверение, издадено на Contoso-Ca2 ще изглежда така:

Adatum-CA1
Contoso-CA1
Contoso-CA2
EndCert

Във втория случай, веригата на удостоверение за удостоверение, издадено на Contoso-Ca2 ще изглежда така:

Adatum-CA1
Contoso-CA2
EndCert

Като цяло много опции и изборът може да бъде продиктувано от специално по специфичните изисквания и личните ви предпочитания. Лично аз предпочитам да правя кръст-сертифицирани, така че в крайна сметка се получи най-късата верига, но ако е възможно, без да се включва в него допълнителни сертификати корен. Ето защо, най-предпочитаният вариант за мен би било втората опция в първата картина:

В нашия случай, ние създаваме нова йерархия Adatum и постепенно да се отървете от Contoso. Важно е да се има предвид, че демонтирането на стария сертификат органи може да се извършва само след пълно, което създава ново PKI йерархия.

Сега трябва да добавите желаните модели в издаващата CA. За да направите това:

  1. Влезте в Калифорния сървър на име Adatum-CA2 с корпоративните администратори привилегии.
  2. Натиснете Start. Административни инструменти и щракнете върху сертифициращ орган.
  3. Маркирайте участък от Сертификат шаблони и след това върху New -> шаблон за сертификат за издаване.
  4. В списъка, изберете новосъздадената Cross-подписването и сертифициране орган кръст, а след това щракнете върху Добави.

Сега да поиска сертификат въз основа Cross-подписване шаблон. Този сертификат, ще се наложи да се регистрирате, въз основа на заявки Cross шаблонни сертификат сертифициращ орган.

[Версия]
Подпис = $ WindowsNT $

[RequestAttributes]
CertificateTemplate = CrossCA

След това копирайте сертификат CA Contoso-CA2 върху локалния диск. Започнете команден прозорец и изпълнете следната команда:

В диалоговия прозорец, изберете сертификат файл Contoso-CA2 и щракнете върху Отвори. В диалоговия прозорец на втория, изберете създаден policy.inf файл и щракнете върху Отвори. След това ще се появи прозорец за избор на сертификат за подписване. След уточняване на сертификата за подписване, натиснете ОК и въведете пътя местоположението и името на заявката за сертификат. След това, изпълнете следната команда:

certreq -submit път \ cross.req

където пътека \ cross.req - поставяне на пътя на заявката и името на файла за крос-сертификат. Ако видите прозорец за избор на кутия CA сървър, изберете този, чиято екстрадиция е кръст шаблон сертифициращ орган и кликнете OK.

  1. Влезте в Калифорния сървър на име Adatum-CA2 с правата на корпоративните администратори и администратор CA.
  2. Натиснете Start. Административни инструменти и щракнете върху сертифициращ орган.
  3. Highlight раздел чакащи заявки. Превъртете надолу до последната заявка и след това върху емисията. Предварително можете да се уверите, че искането е получено правилно и всички данни в него е вярна.
  4. Отиди раздел издадените удостоверения. Намерете най-новото удостоверение (трябва да бъде нашата крос-сертификат) и го изнася за файла CER.

ако отворите раздела Сертификат и погледнете Сертифициране път, можете да видите, че веригата на сертификат не завършва с Contoso-CA1, а на Adatum-CA1. Вследствие на това за доверието на сертификата, както и наличието на Contoso-СА1 вече не е необходимо.

На този етап, една последна стъпка - публикуването на крос-сертификат в Active Directory. За да направите това, отворете команден прозорец с повишени привилегии (като изберете Run като администратор в Prompt икона контекстното меню Command) и го изпълнете следната команда:

certutil -dspublish -f път \ cross.cer

където пътека \ cross.cer - начина на настаняване и име крос-файл със сертификат.

CD C: \ Windows \ system32 \ certsrv \ certenroll \
certutil -sign .crl 1.crl сега + 1825: 00
certutil -sign + 1 + .crl .crl сега + 1825: 00

Забележка: трябва да се отстрани само обектите, свързани с разглобяема сертифициращи органи. В противен случай, можете да премахнете обекти и нова операционна CA.