Active Directory 証明書サービス(AD CS)の移行方法について

Question

dewocean 40

現在管理している以下サーバーを、新規構築したサーバーに移行したいと考えています。

　・ADServer1　　※AD DS(FSMO)

　・ADServer2　　※AD DS

　・ADCSServer　 ※AD CSのみ

新規サーバーはコンピュータ名、IP共に新規割当で既存サーバーとは変更になります。

ADSever1、ADSever2のAD DS機能の移行は経験あるため問題ないのですがAD CSの知識、移行経験がなく安全な移行方法を探しています。

前任で管理されていた方が既に退職済で詳細な情報が全くない状況で困っています。

1.移行時の移行元ADCS機能削除について

　Microsoft公式の移行手順を確認しましたが移行元で①ADCSバックアップ②ADCS機能削除、新サーバで③ADCS機能インストール④ADCS機能復元のような手順が案内されていました。

※ドメイン内に複数のCSサーバーは一時的でも推奨されていない？

手順②ADCS機能削除した際は証明書を利用しているサービスは即利用できなくなるのでしょうか。または証明書を発行していれば一定期間は問題なく利用できるのでしょうか。

どの機能までが証明書を利用しているか範囲がわからず止まった際の影響が未知数であること、移行先で正常に動作しなかった際に切り戻しが出来るか不明の為教えていただきたいと思います。

2.AD CSの安全な移行方法について

可能であれば既存ADCSサーバは動作させたまま、新規ADCSサーバへ設定移行し動作検証を実施、問題なければ切替という方法を取りたいと考えています。

詳細な手順もしくは手順を公開されているブログ等あればご教授いただけますでしょうか。可能な限り証明書等の設定変更が発生しない手順であれば嬉しいです。

ADCSの知識がなく乱文になってしまい申し訳ございません。

ご回答いただけると幸いです、よろしくお願い致します。

承認済みの回答

0 件の追加の回答

Answer 1

チャブーンです。

この件ですが、基本的には古い証明機関を新しい証明機関に「切り替える」ことをお奨めします。証明書の発行履歴やセキュリティ上の(ルート証明書やCRL・ALAの管理等)問題もありますが、単純に「新しい証明機関からの証明書の再発行」にとても手間を要するから、になります。

この前提であれば、Step by Stepでは、以下の資料などが適切かと思います。

日本語でのガイドが欲しい場合、以下の情報も役立つと思います。

どうしても複数のAD CSを同時に展開したい、という場合、技術的には可能です。単純に新しい証明機関を立てればいいでしょう。ですが、以下の制約がかかります。

古い証明機関を「引き継ぐ」ことができないため、新しい証明機関で証明書の再発行が必要です。(古い証明書を『新しい証明機関が発行しました！』ということにはできないということです)
証明書テンプレート(エンタープライズCAで必要です)の情報が共有されてしまい、データの破損や予期しない混乱が起こる可能性があります。
「自動で証明書配布」したい場合、適切な設定を行わない限り、古い証明機関と新しい証明機関のどちらか任意の証明機関にアクセスしてしまいます。つまり制御ができません。

3.の問題を解決したい場合、証明機関に対して「特定のActive Directoryサイトからの要求を受け付ける」ように構成します。詳細については、以下の情報を見るとよいと思います。