7
Abgelaufenes CA-Computer-Zertifikat im ADCS löschen?
Hey kurze Frage, kann ich die ganzen Computerzertifikate ("ContosoCA$"), die von der zentralen CA kommen löschen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1497605311
Url: https://administrator.de/contentid/1497605311
Ausgedruckt am: 24.11.2024 um 05:11 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @FUHSSrfe:
Hey kurze Frage, kann ich die ganzen Computerzertifikate ("ContosoCA$"), die von der zentralen CA kommen löschen?
Natürlich kannst du das.Hey kurze Frage, kann ich die ganzen Computerzertifikate ("ContosoCA$"), die von der zentralen CA kommen löschen?
Aber ob das in deinem Fall sinnvoll ist?
Das wird dir hier ohne weitere Infos keiner sagen können!
Wir wissen ja nicht, wofür die Zertifikate verwendet werden… das solltest du wissen. Hat da keiner was zu dokumentiert?
Grüße
tomolpi
Löschen kann man alles, ob das bei dir aber überhaupt sinnvoll/schmerzfrei ist kommt auf deine Umgebung und dein Backup an... Typische Freitagsfrage 🐟
Hallo,
wenn die CA tatsächlich "ContosoCA" heißt, kannst Du sie löschen, weil - dann ist es ja nur ein Testsystem.
Ansonsten - was kann schon passieren (abhängig von der Konfiguration)?
Wie Du siehst, das ideale Freitagsthema. Mach das am besten gleich, dann hast Du bis Montag 7:00 Zeit alles wieder zum Laufen zu kriegen.
Grüße
lcer
wenn die CA tatsächlich "ContosoCA" heißt, kannst Du sie löschen, weil - dann ist es ja nur ein Testsystem.
Ansonsten - was kann schon passieren (abhängig von der Konfiguration)?
- dein Switch verweigert die Netzwerkkonnektivität
- das WLAN verbindet nicht
- Du hast keinen Zugriff auf Freigaben mehr
- Du kannst nicht mehr per RDP auf diesen oder auf andere PCs/Server zugreifen
- die Anmeldung an der Domäne scheitert
- ...
Wie Du siehst, das ideale Freitagsthema. Mach das am besten gleich, dann hast Du bis Montag 7:00 Zeit alles wieder zum Laufen zu kriegen.
Grüße
lcer
1
Zitat von @tomolpi:
Aber ob das in deinem Fall sinnvoll ist?
Das wird dir hier ohne weitere Infos keiner sagen können!
Wir wissen ja nicht, wofür die Zertifikate verwendet werden… das solltest du wissen. Hat da keiner was zu dokumentiert?
Grüße
tomolpi
Zitat von @FUHSSrfe:
Hey kurze Frage, kann ich die ganzen Computerzertifikate ("ContosoCA$"), die von der zentralen CA kommen löschen?
Natürlich kannst du das.Hey kurze Frage, kann ich die ganzen Computerzertifikate ("ContosoCA$"), die von der zentralen CA kommen löschen?
Aber ob das in deinem Fall sinnvoll ist?
Das wird dir hier ohne weitere Infos keiner sagen können!
Wir wissen ja nicht, wofür die Zertifikate verwendet werden… das solltest du wissen. Hat da keiner was zu dokumentiert?
Grüße
tomolpi
Naja ich denke eifnach, dass das bei jedem normalen ADCS der Fall ist, dass die CA diese Zertifikate erstellt. Die Vorlage heißt "Zertifizierungsstellenaustausch (CAExchange)"
Zitat von @lcer00:
Hallo,
wenn die CA tatsächlich "ContosoCA" heißt, kannst Du sie löschen, weil - dann ist es ja nur ein Testsystem.
Ansonsten - was kann schon passieren (abhängig von der Konfiguration)?
Wie Du siehst, das ideale Freitagsthema. Mach das am besten gleich, dann hast Du bis Montag 7:00 Zeit alles wieder zum Laufen zu kriegen.
Grüße
lcer
Hallo,
wenn die CA tatsächlich "ContosoCA" heißt, kannst Du sie löschen, weil - dann ist es ja nur ein Testsystem.
Ansonsten - was kann schon passieren (abhängig von der Konfiguration)?
- dein Switch verweigert die Netzwerkkonnektivität
- das WLAN verbindet nicht
- Du hast keinen Zugriff auf Freigaben mehr
- Du kannst nicht mehr per RDP auf diesen oder auf andere PCs/Server zugreifen
- die Anmeldung an der Domäne scheitert
- ...
Wie Du siehst, das ideale Freitagsthema. Mach das am besten gleich, dann hast Du bis Montag 7:00 Zeit alles wieder zum Laufen zu kriegen.
Grüße
lcer
Natürlich heißt die CA nicht "ContosoCA", sondern anders. Privatsphäre und so. Danke für die Tipps
Hallo,
Die "Zertifizierungsstellenaustausch (CAExchange)" wird auch nicht automatisch für X-Beliebige Rechner verwendet.
Statt die Zertifikate zu löschen, solltest Du nachsehen, wieso die verteilt wird. Irgendwo gibt es eine GPO die das Autoenrollment aktiviert. Und die Vorlage muss die "Automatisch Registrieren"-Berechtigung für irgendeine Computergruoppe haben.
https://docs.microsoft.com/en-us/windows-server/networking/core-network- ...
Grüße
lcer
Zitat von @FUHSSrfe:
Naja ich denke eifnach, dass das bei jedem normalen ADCS der Fall ist, dass die CA diese Zertifikate erstellt. Die Vorlage heißt "Zertifizierungsstellenaustausch (CAExchange)"
Nö, das einzige, was per "Grundeinstellung" verteilt wird, sind die Zertifikate der Unternehmens-CAs. Diese werden im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" und ggf. auch noch in "Zwischenzertifizierungsstellen" abgelegt. Alles andere "automatische" muss man (per GPO) konfigurieren. Wenn also ein automatisches Ausrollen von Computerzertifikaten stattfindet, hat sich irgendwer irgendetwas dabei gedacht.Naja ich denke eifnach, dass das bei jedem normalen ADCS der Fall ist, dass die CA diese Zertifikate erstellt. Die Vorlage heißt "Zertifizierungsstellenaustausch (CAExchange)"
Die "Zertifizierungsstellenaustausch (CAExchange)" wird auch nicht automatisch für X-Beliebige Rechner verwendet.
Statt die Zertifikate zu löschen, solltest Du nachsehen, wieso die verteilt wird. Irgendwo gibt es eine GPO die das Autoenrollment aktiviert. Und die Vorlage muss die "Automatisch Registrieren"-Berechtigung für irgendeine Computergruoppe haben.
https://docs.microsoft.com/en-us/windows-server/networking/core-network- ...
Grüße
lcer
Naja ich denke eifnach, dass das bei jedem normalen ADCS der Fall ist, dass die CA diese Zertifikate erstellt. Die Vorlage heißt "Zertifizierungsstellenaustausch (CAExchange)"
Nein ist es nicht, das ist nur aktiv wenn ein KRA zur Archivierung der private Keys genutzt werden soll. Denn damit werden die private Keys für die Übertragung an die CA verschlüsselt.Hier wird erklärt was es damit auf sich hat ...
https://social.technet.microsoft.com/Forums/en-US/5cdf1265-e393-4c74-84e ...
Du musst also schauen ob irgendeins eurer Templates in den Features die Archivierung der PrivateKeys nutzt und ob der KRA in den CA-Eigenschaften aktiviert ist. Erst dann kommen diese Certs zum Einsatz um die private Keys bestimmter Zertifikate zu verschlüsseln und zu archivieren.
Und wenn, die Verwaltung dieser Certs regelt die CA dann automatisch.
Siehe auch
Managing Key Archival and Recovery
Teil 5c: Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren
Also wie immer, erster Schritt: Thema grundlegend verstehen bevor man handelt.
