Herdei um controlador de domínio do Windows Server 2019 em uma rede pequena (aproximadamente 30 computadores clientes) com AD CS instalado. Quero configurar um servidor dedicado para AD CS, pois ter o AD CS no DC é uma prática recomendada e estou planejando usar certificados para autenticação Radius para usuários/computadores.
Estudei o processo de transferência de um CA para outro computador, mas como todos os modelos de certificado estão desconfigurados e o comprimento da chave do certificado raiz é de apenas 2.048 bits, prefiro começar tudo de novo.
Atualmente, o único certificado ainda válido é um certificado de controlador de domínio. O DC sincroniza com o Entra, que acredito exigir o certificado do controlador de domínio.
Questões:
- é aceitável descartar o CA completo neste caso?
- o DC obterá apenas um novo certificado de controlador de domínio ou ele quebrará?
- algum problema com o Entra em relação a isso?
Os certificados de controlador de domínio são usados para:
Se nenhum deles estiver em uso, é seguro desativar a CA herdada usando as instruções deste artigo: https://learn.microsoft.com/en-us/archive/technet-wiki/3527.how-to-decommission-a- autoridade de certificação empresarial do Windows e como remover todos os objetos relacionados
Ou apenas adicionar um novo controlador de domínio à floresta e rebaixar o servidor original, mantendo-o apenas como CA?