Задать вопрос
Axel_L
@Axel_L
помощник сисадмина
системное-администрирование

Можно ли обновить сертификат подчиненного ЦС, без потери валидности уже выданных им сертификатов?

Приветствую товарищи!

Собственно ситуация. В доменной сети имеется следующая структура PKI:
ebb0ed5d0fbb4bfdaf31d9936b6ee734.PNG

первые два ЦС были по стечению обстоятельств утеряны безвозвратно, пока их функции выполняют подчиненные ЦС другой площадки, но! Как видно из рисунка на них имеется предупреждение о истечении срока действия сертификата. Соответственно нужно запрашивать новый сертификат у Корневого ЦС.

после запроса сертификата у Корневого ЦС:
1. Останутся ли валидными те сертификаты, которые уже были выданы компьютерам и пользователям? (запрашивать планирую на старую пару ключей)
2. Будет обновлен уже выданный сертификат, или произойдет выдача нового и отзыв старого сертификатов?

Читал руководства по обновлению, было не совсем понятно по судьбе уже выданных сертификатов. Понял, что при генерации сертификата из новой ключевой пары, надо будет отзывать старые (опять таки, не совсем ясно, они будут отозваны после выдачи новых, или же новые получат после отзыва).

P.S. В сети развернута система, которая по валидности сертификата допускает ПК в локальную сеть, как только сертификат перестает быть валидным ПК из сети выпадает. Поэтому после отзыва старых сертификатов без выдачи новых, система превращаюет автоматически все ПК в тыкву
  • Вопрос задан
  • 1982 просмотра
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
Axel_L
@Axel_L Автор вопроса
помощник сисадмина
В общем вопрос решил. Запросил у корневого ЦС сертификат, используя старую пару ключей. Запрос делал через оснастку "Центр сертификации".

Кстати, часть компьютеров автоматически поменяла сертификат (скорее просто по истечению срока старого автоматом запросил новый, как раз после обновления сертификата центра), но часть компьютеров оставалась со старым сертификатом (эти компьютеры делали запрос до обновления сертификата подчиненного ЦС). Чтобы назначить им обновленный сертификат "ручками", а не ждать повторного запроса от них, надо перейти в оснастку
"Центр сертификации" -> Неудачные запросы, в поле "Код состояния" будет сообщение о том, что сертификат для компьютера не выдан из-за срока выдачи, больше чем срок валидности самого сертификата (точное описание не помню, шаблон выдачи должен быть "Компьютер" или "Machine"). Выделить все запросы с таким кодом, и в контекстном меню выбрать: Все задачи -> Выдать. После этого будет выдан обновленный сертификат
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Инженер по системному администрированию
Деловая среда от Сбербанка Москва
До 209 000 ₽
Системный администратор (инженер) 🚀
Хабр Москва
от 140 000 ₽
Системный администратор
Глобал Смарт Системс Санкт-Петербург
от 100 000 до 120 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Поправить пхп скрипт
19 апр. 2024, в 16:53
1000 руб./за проект
Требуется настройка Яндекс Директа
19 апр. 2024, в 16:45
5000 руб./за проект
Разработать дизайн 3-х сайтов на Tilda
19 апр. 2024, в 16:22
30000 руб./за проект
Ещё заказы