Hello,
 
Je tente de corriger petit à petit les différentes coquilles que je constate sur une infra dont j'ai la gestion.
Mon prochain chantier va être de déplacer le rôle ADCS sur une nouvelle machine.
 
Actuellement la machine en question possède également le rôle ADDS donc pour respecter les bonnes pratiques Microsoft je souhaite séparer les rôles.
Il y a donc à faire : la séparation des rôles, la prise en compte d'un nouvel hostname pour le serveur (pas pour la CA) et une nouvelle IP.
 
J'ai trouvé de la doc, apparemment ça se fait bien, si j'ai bien compris, sans rentrer dans le détail :  
 
- J'installe un nouveau serveur que je joins au domaine
- Je crée mes différents fichiers de sauvegarde sur mon ADCS actuel
- Je supprime le rôle ADCS sur mon serveur actuel
- J'ajoute le rôle ADCS sur le nouveau serveur et je restaure les fichiers de conf + modifier l'entrée "CAServerName" dans la base de registre pour lui indiquer le nouvel hostname de la machine
 
Est-ce que ça vous paraît correct ?
Est-ce que dans ce cas de figure il y a du ménage à faire dans les metadata ?
 
Merci  

Perso je reconstruirais la PKI from scratch puis nettoierai l'ancienne

+1 c'est ce que j'ai fait sur l'infra de ma cogip.
Par contre tu vas garder l'ancienne PKI un petit moment encore le temps de déployer la nouvelle CA partout et renouveler tous les certificats.

+1 Et il te faudra plus d'un serveur si tu veux avoir une PKI supportée, donc une bonne raison de plus de bazarder l'ancienne.