Цитата mcmurphy:
|
При выполнении команды dcpromo ругнулся на то, что на сервере развернуты службы сертификации, и сначало надо удалить их. »
|
Это служба, которая использует
корневой сертификат ЭЦП домена для создания доверенных сертификатов доменных и других служб, использующих протокол SSL: сам КД (для репликаций), сайт, почта, базы данных и т.д. Также сертификаты ЭЦП пользователей и компьютеров используются для автоматической авторизации на серверах.
Без него каждая служба будет использовать
самоподписанный сертификат, который придётся добавлять в список "доверенных" на каждом компьютере / профиле пользователя. В маленькой сетке ещё прокатывает, а в большой - никак (over9000 сертификатов на over9000 пользователей
).
Цитата mcmurphy:
|
Вроде бы сертификация может использоваться в паре с терминалами »
|
Сервер терминалов также использует защищённый канал SSL. Разумеется, лучше использовать тот сертификат, который был выдан центром сертификации домена.
Цитата mcmurphy:
|
В общем, вопрос в том же - как и где посмотреть какие были созданы, выданы, или используются сертификаты, и их сроки. »
|
В папке "Администрирование" есть оснастка "Центр сертификации"
Цитата mcmurphy:
|
Когда поднимал новый КД на 2008 Р2 ни про какие сертификаты не спрашивало, все поднялось, роли передались... »
|
А это роль сервера, которая никакого отношения к ролям FSMO не имеет.
Запустить центр сертификации на новом сервере просто - "управление сервером" -> "Добавить роль".
В принципе, если вы просто остановите старый центр сертификатов, то ранее выданные сертификаты продолжат своё действие. До тех пор, пока вы не отзовёте старый корневой сертификат.
Однако просто перенести закрытый ключ старого сертификата на новый сервер нельзя, потому что данный сертификат использует сетевое имя сервера.
Так что создавайте на новом сервере новый корневой сертификат домена. Затем постепенно переводите все службы на новые сертификаты. Для контроля можно по мере перевода "отзывать" (блокировать) старые сертификаты.
