fuhssrfe
Nov 12, 2021
view1959
view7
0
Goto Top

Abgelaufenes CA-Computer-Zertifikat im ADCS löschen?

GermanQuestionWindows NetworkMicrosoft
Hey kurze Frage, kann ich die ganzen Computerzertifikate ("ContosoCA$"), die von der zentralen CA kommen löschen?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 1497605311

Url: https://administrator.de/contentid/1497605311

Printed on: April 24, 2024 at 02:04 o'clock

7 Comments
Latest comment
Goto Top
Member: tomolpi
tomolpi Nov 12, 2021 updated at 07:29:34 (UTC)
Goto Top
Zitat von @FUHSSrfe:

Hey kurze Frage, kann ich die ganzen Computerzertifikate ("ContosoCA$"), die von der zentralen CA kommen löschen?
Natürlich kannst du das.
Aber ob das in deinem Fall sinnvoll ist?
Das wird dir hier ohne weitere Infos keiner sagen können!

Wir wissen ja nicht, wofür die Zertifikate verwendet werden… das solltest du wissen. Hat da keiner was zu dokumentiert?

Grüße

tomolpi
Mitglied: 149569
149569 Nov 12, 2021 updated at 07:50:02 (UTC)
Goto Top
Löschen kann man alles, ob das bei dir aber überhaupt sinnvoll/schmerzfrei ist kommt auf deine Umgebung und dein Backup an... Typische Freitagsfrage 🐟
Member: lcer00
lcer00 Nov 12, 2021 at 09:17:59 (UTC)
Goto Top
Hallo,

wenn die CA tatsächlich "ContosoCA" heißt, kannst Du sie löschen, weil - dann ist es ja nur ein Testsystem.

Ansonsten - was kann schon passieren (abhängig von der Konfiguration)?
  • dein Switch verweigert die Netzwerkkonnektivität
  • das WLAN verbindet nicht
  • Du hast keinen Zugriff auf Freigaben mehr
  • Du kannst nicht mehr per RDP auf diesen oder auf andere PCs/Server zugreifen
  • die Anmeldung an der Domäne scheitert
  • ...

Wie Du siehst, das ideale Freitagsthema. Mach das am besten gleich, dann hast Du bis Montag 7:00 Zeit alles wieder zum Laufen zu kriegen.

Grüße

lcer
heart1
Member: FUHSSrfe
FUHSSrfe Nov 12, 2021 at 11:50:32 (UTC)
Goto Top
Zitat von @tomolpi:

Zitat von @FUHSSrfe:

Hey kurze Frage, kann ich die ganzen Computerzertifikate ("ContosoCA$"), die von der zentralen CA kommen löschen?
Natürlich kannst du das.
Aber ob das in deinem Fall sinnvoll ist?
Das wird dir hier ohne weitere Infos keiner sagen können!

Wir wissen ja nicht, wofür die Zertifikate verwendet werden… das solltest du wissen. Hat da keiner was zu dokumentiert?

Grüße

tomolpi

Naja ich denke eifnach, dass das bei jedem normalen ADCS der Fall ist, dass die CA diese Zertifikate erstellt. Die Vorlage heißt "Zertifizierungsstellenaustausch (CAExchange)"
Member: FUHSSrfe
FUHSSrfe Nov 12, 2021 at 11:51:52 (UTC)
Goto Top
Zitat von @lcer00:

Hallo,

wenn die CA tatsächlich "ContosoCA" heißt, kannst Du sie löschen, weil - dann ist es ja nur ein Testsystem.

Ansonsten - was kann schon passieren (abhängig von der Konfiguration)?
  • dein Switch verweigert die Netzwerkkonnektivität
  • das WLAN verbindet nicht
  • Du hast keinen Zugriff auf Freigaben mehr
  • Du kannst nicht mehr per RDP auf diesen oder auf andere PCs/Server zugreifen
  • die Anmeldung an der Domäne scheitert
  • ...

Wie Du siehst, das ideale Freitagsthema. Mach das am besten gleich, dann hast Du bis Montag 7:00 Zeit alles wieder zum Laufen zu kriegen.

Grüße

lcer

Natürlich heißt die CA nicht "ContosoCA", sondern anders. Privatsphäre und so. Danke für die Tipps
Member: lcer00
lcer00 Nov 12, 2021 at 12:14:07 (UTC)
Goto Top
Hallo,
Zitat von @FUHSSrfe:

Naja ich denke eifnach, dass das bei jedem normalen ADCS der Fall ist, dass die CA diese Zertifikate erstellt. Die Vorlage heißt "Zertifizierungsstellenaustausch (CAExchange)"
Nö, das einzige, was per "Grundeinstellung" verteilt wird, sind die Zertifikate der Unternehmens-CAs. Diese werden im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" und ggf. auch noch in "Zwischenzertifizierungsstellen" abgelegt. Alles andere "automatische" muss man (per GPO) konfigurieren. Wenn also ein automatisches Ausrollen von Computerzertifikaten stattfindet, hat sich irgendwer irgendetwas dabei gedacht.

Die "Zertifizierungsstellenaustausch (CAExchange)" wird auch nicht automatisch für X-Beliebige Rechner verwendet.

Statt die Zertifikate zu löschen, solltest Du nachsehen, wieso die verteilt wird. Irgendwo gibt es eine GPO die das Autoenrollment aktiviert. Und die Vorlage muss die "Automatisch Registrieren"-Berechtigung für irgendeine Computergruoppe haben.

https://docs.microsoft.com/en-us/windows-server/networking/core-network- ...

Grüße

lcer
Mitglied: 149569
149569 Nov 12, 2021 updated at 12:50:45 (UTC)
Goto Top
Naja ich denke eifnach, dass das bei jedem normalen ADCS der Fall ist, dass die CA diese Zertifikate erstellt. Die Vorlage heißt "Zertifizierungsstellenaustausch (CAExchange)"
Nein ist es nicht, das ist nur aktiv wenn ein KRA zur Archivierung der private Keys genutzt werden soll. Denn damit werden die private Keys für die Übertragung an die CA verschlüsselt.

Hier wird erklärt was es damit auf sich hat ...
https://social.technet.microsoft.com/Forums/en-US/5cdf1265-e393-4c74-84e ...

Du musst also schauen ob irgendeins eurer Templates in den Features die Archivierung der PrivateKeys nutzt und ob der KRA in den CA-Eigenschaften aktiviert ist. Erst dann kommen diese Certs zum Einsatz um die private Keys bestimmter Zertifikate zu verschlüsseln und zu archivieren.

screenshot

Und wenn, die Verwaltung dieser Certs regelt die CA dann automatisch.

Siehe auch
Managing Key Archival and Recovery
Teil 5c: Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren

Also wie immer, erster Schritt: Thema grundlegend verstehen bevor man handelt.
GermanQuestionWindows NetworkMicrosoft
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments