Вопрос или проблема
Мы собираемся заменить наш текущий сервер CESCEP IIS 2012 года на 2 новых сервера IIS, настроенных в режиме HA (с использованием внутреннего DNS, который будет распределять нагрузку между ними), которые будут взаимодействовать с другим удостоверяющим центром. CESCEP установлен на отдельном сервере от CA. Когда я устанавливал службу CESCEP, мне пришлось вручную перемещать их.
SPN и делегирование для учетной записи службы CES также указывают на необходимые сайты (HOST и rpccs целевых центров сертификации). Я повторно использую оригинальную учетную запись CES со новой настройкой. Разрешения Enroll и AutoEnroll для учетной записи службы были установлены на CA.
Оба – и новый, и старый – настроены с использованием аутентификации Kerberos. Во время тестирования я добавил новый CEP, используя управление политиками регистрации, что было успешно принято.
Запуск certutil -template -policyserver * на любом сервере в домене отображает одни и те же шаблоны в конфигурациях как нового, так и старого CEP, несмотря на то, что новый CA имеет другие шаблоны. URL и FriendlyName отличаются, и новый CESCEP не должен даже знать о старых шаблонах, что теперь заставляет меня чесать голову.
Есть много информации о настройке CESCEP в первый раз в домене, но мы собираемся заменить наш.
Мы полагаем, что создание нового экземпляра безопаснее, чем обновление существующего в производственной среде.
Ответ или решение
Замена существующего CESCEP 2012 года на новые серверы с высокой доступностью представляет собой значительную задачу, учитывая специфику вашего сетапа. Чтобы успешно реализовать этот переход и предотвратить потенциальные проблемы, важно рассмотреть несколько ключевых аспектов.
Теория: Понимание процесса и потенциала проблемы
Во-первых, важно понять, как работает система регистрации сертификатов (CES или CEP) в контексте служб IIS и сертификатных авторитетов (CA). CES отвечает за регистрацию сертификатов на уровне клиента, предоставляя клиентам возможность зарегистрировать сертификаты через веб-серверы IIS. CA, в свою очередь, является основным провайдером сертификатов и управляет шаблонами, которые определяют параметры создаваемых сертификатов.
Ключевая проблема в вашей ситуации заключается в том, что, несмотря на переход на новые серверы и новый CA, новые установки продолжают ссылаться на старые шаблоны сертификатов. Это предполагает, что есть определенная конфигурация, сохраняющая связь с предыдущими установками.
Пример: Разбор проблемы
Основываясь на предоставленной информации, можно выделить несколько потенциальных причин:
-
Старые SPN и делегирование: Поскольку вы перемещали SPN и настройки делегирования вручную, возможно, некоторые записи остались от старой конфигурации и влияют на текущие политики. Это может затруднить установление новых соединений.
-
Кэширование политики: CEP может кэшировать политики и шаблоны, что может объяснить, почему наблюдается совпадение в конфигурациях. Кэш может не обновляться должным образом при изменении конфигураций, тем более если происходит взаимодействие как со старыми, так и новыми серверами.
-
Общие учетные записи службы: Поскольку вы решили переиспользовать существующий CES-аккаунт для новой конфигурации, возможно, некоторые старые связи сохранились, особенно если они не были должным образом обновлены или перерасчитаны для новой конфигурации.
-
Клиентская и серверная конфигурация: Новые серверы должны обновленным образом взаимодействовать с клиентами. Если на клиентах осталась старая конфигурация или неточность в настройках CEP, это может вызвать неправильное обращение к прежним шаблонам.
Применение: Решения и рекомендованные действия
Для решения данной проблемы рекомендуется предпринять следующие шаги:
-
Проверка и обновление SPN и делегирования: Убедитесь, что все SPN, связанные с новой установкой, правильно настроены. Проверьте делегирование для учетной записи CES, чтобы удостовериться, что оно указывает на новые цели, а не на старые сайты.
-
Очистка кэша политики: Проверьте, как происходит обновление кэша CEP на клиентах и серверах. Используйте утилиты для управления политиками, такие как
certutil, чтобы проверить наличие конфликта в старых данных. Возможно, потребуется вынудить обновление кэша на новых серверах. -
Разделение учетных записей: Несмотря на удобство использования существующей учетной записи службы, рассмотрите возможность создания новой учетной записи для новых серверов, чтобы избежать возможного конфликта и пересечения старых настроек.
-
Оценка и тестирование клиентской конфигурации: Поскольку вы тестировали добавление нового CEP с помощью Manage Enrollment Policies и это было успешно, убедитесь, что на всех клиентах обновлены политики для нового CA и установлены правильные CEP-конфигурации.
-
Ресинхронизация шаблонов: Поскольку завершение всех вышеуказанных шагов все равно показывает прежние шаблоны, возможно, требуется вручную синхронизировать новые шаблоны CA с установленными установками CESCEP.
Заключение
Успешная миграция с одной инфраструктуры CESCEP на другую требует комплексного подхода к конфигурации как серверной, так и клиентской части. Выявление и устранение всех оставшихся связей и кэшированных данных поможет обеспечить чистый переход и соответствие новым политикам и шаблонам. Безопасность и стабильность системы будут гарантированы только в случае тщательного анализа и выполнения нужных изменений на каждом этапе миграции.