기본 DC에서 Windows 2003 AD 인증서 서비스가 실패했습니까?

글쎄, 당신은 일종의 혼란에 빠졌습니다. 그것은 확실합니다. 첫째, Exchange 서버, DC 또는 실제로 다른 역할을 가진 컴퓨터에 CA를 설치하지 마십시오. 재해 영수증이군요. CA의 올바른 설정은 루트가 될 서버를 선택하는 것입니다(가급적이면오프라인 루트 CA) 및 기타 요구 사항에 대한 중간 CA 역할을 하는 두 번째 서버입니다.

이렇게 하면 중간 CA에 문제가 발생하는 경우(귀하의 CA에 발생한 것과 같은) 루트 CA에서 CA를 취소하고 큰 문제 없이 새 CA를 구축할 수 있습니다.

이제 배포한 CA 유형(AD 통합의 독립 실행형)을 지정하지 않았지만 설명하는 문제를 보면 AD 통합 CA라고 가정합니다.

위의 내용이 정확하다고 가정하면 상황은 다음과 같습니다. 현재 비활성화된 인증서를 발급하는 데 사용된 CA가 있습니다. 해당 CA는 자동 인증서 등록을 위해 모든 시스템에서 사용되며 인증을 위해 이 인증서를 추가로 사용했습니다.

이제 시스템 설정이 제대로 되었다면 루트에서 이전 중간 CA를 취소하고 새 CA를 게시해야 합니다.CRL, 다른 중간 CA를 설치하고 인증서를 다시 발급하십시오. 등록 서비스 LDAP 항목의 대상을 다시 지정하려면 ADSI 편집을 사용해야 할 수도 있습니다.

귀하의 경우에는 이렇게 할 수 없습니다. 다음 중 하나를 수행해야 합니다.이주귀하의 권한(루트 CA에 연결된 개인 키에 여전히 액세스할 수 있다고 가정하거나그것을 회복할 수 있다) 또는 새로운 권한으로 처음부터 시작하세요.

새로운 권한을 생성하기로 결정한 경우 수행해야 할 작업은 다음과 같습니다.

• 루트 CA와 중간 CA에 서로 다른 서버를 사용할 수 없는 경우 최소한 루트 전용 머신을 지정하십시오. OpenSSL을 사용하여 루트 CA를 생성하고 해당 CA를 사용하여 AD 통합 중간 CA에 서명할 수도 있지만, 해당 루트에 대해 때때로 새 CRL을 수동으로 생성해야 한다는 점에 유의하십시오(그러나 해당 루트를 설치할 수 있음). 올바르게 보호한다고 가정하여 동일한 시스템에서). 새 루트와 이전 루트를 혼합하지 않도록 하기 위해 새 서버 이름을 사용하겠습니다(이로 인해 문제와 혼란이 발생할 수 있음). 원하는 경우 동일한 이름을 재사용할 수 있습니다.
• 새 CA 계층 구조가 있으면 그룹 정책을 사용하여 도메인의 모든 시스템에 새 루트를 배포합니다. "신뢰할 수 있는 루트 인증 기관" 저장소에 루트를 추가하고 "중간 인증 기관" 저장소에 중간 CA를 추가합니다(두 번째 단계는 대부분 예방 조치입니다).
• 로컬에서 이전 CA를 신뢰할 수 없도록 강제합니다. 이를 위해서는 그룹 정책을 사용하여 "신뢰할 수 없는 인증서" 저장소에 공용 인증서를 추가하십시오.
• 등록 서비스의 대상을 새 서버로 다시 지정합니다. 이를 위해 Adsiedit를 사용하여 구성/서비스/공개 키 서비스/등록 서비스로 이동하고 이전 CA 서버에 대한 참조를 제거합니다(새 CA 서버는 이미 거기에 등록되어 있어야 합니다).
• 필요한 모든 인증서를 다시 발급하십시오. CA를 올바르게 설정한 경우 자동 등록을 사용하는 모든 인증서가 새 CA에서 자동으로 다시 생성되고 이전 CA는 삭제됩니다. 이러한 인증서가 암호화에 사용되지 않았는지 확실하지 않은 경우 클라이언트 컴퓨터/계정에서 삭제하지 마십시오.

(PS 처음부터 제대로 설정하지 않았다고 해서 너무 서운해하지 마세요. CA 관리는 어렵고 잘못하는 것은 매우 쉽습니다. MS는 인증서 서비스를 매우 쉽고 빠르게 만들어서 CA 관리를 훨씬 더 쉽게 만들었습니다. 설치: 현재 수행 중인 작업을 정확히 알지 않는 한 처음부터 실수를 범할 가능성이 거의 없습니다.