DirectAccess和用新的PKI更新SSL?
我们已经为我们的Windows7/10客户端在我们的网络中部署了DirectAccess,这是非常好的。问题是,DA服务器/客户端证书基于我们即将退休的内部PKI;我们已经构建了另一个PKI (两层、离线的rootca和从属ca),我们正在将所有证书迁移到该PKI。
我的问题是将我们的DA基础设施迁移到新的PKI上。我需要向客户端计算机发出新的计算机证书模板(与旧计算机证书一起使用,以保持其现有的DA功能);然后,一旦所有客户端都从新PKI获得计算机证书,我将在DA服务器上更新证书。
我遇到的问题(或缺乏知识)是发生了什么?客户端是否能够使用新PKI颁发的新证书重新连接到DA服务器?
或者,在他们在网络上获得最新的GPUPDATE之前,这会很糟糕吗?
有人经历过这样的事情想要分享他们的经验吗?什么是我最好的行动方针。
回答 1
Server Fault用户
发布于 2016-12-18 21:14:14
如果您正在迁移到一个全新的PKI层次结构(而不是从现有层次结构中的一个新的从属CA发出),当您进行此更改时,这将对网络之外的客户端造成干扰。一旦在远程访问管理控制台中指定了新的根CA,所有当前的DirectAccess客户端连接都将被删除。重新建立连接的唯一方法是返回内部网络并更新组策略。或者,远程客户端可以与VPN连接并更新组策略。如果要不中断地迁移PKI,则必须部署配置为使用新PKI的DirectAccess的单独实例。然后,您可以将客户端从旧的迁移到新的DirectAccess部署,并在每个人都成功迁移之后将旧的客户端替换掉。
如果你有其他问题,请告诉我!:)
-富有
https://serverfault.com/questions/821380
复制
相似问题
通过DirectAccess访问DirectAccess服务器
用Apache更新SSL证书
用SSL证书更新OpenLDAP
更新SSL证书需要新的CSR
Icinga2拒绝接受新的pki证书
领取专属 10元无门槛券
AI混元助手 在线答疑
洞察 腾讯核心技术
剖析业界实践案例
腾讯云开发者
