fuhssrfe
Goto Top

Abgelaufenes CA-Computer-Zertifikat im ADCS löschen?

Hey kurze Frage, kann ich die ganzen Computerzertifikate ("ContosoCA$"), die von der zentralen CA kommen löschen?

Content-ID: 1497605311

Url: https://administrator.de/forum/abgelaufenes-ca-computer-zertifikat-im-adcs-loeschen-1497605311.html

Ausgedruckt am: 27.12.2024 um 03:12 Uhr

tomolpi
tomolpi 12.11.2021 aktualisiert um 08:29:34 Uhr
Goto Top
Zitat von @FUHSSrfe:

Hey kurze Frage, kann ich die ganzen Computerzertifikate ("ContosoCA$"), die von der zentralen CA kommen löschen?
Natürlich kannst du das.
Aber ob das in deinem Fall sinnvoll ist?
Das wird dir hier ohne weitere Infos keiner sagen können!

Wir wissen ja nicht, wofür die Zertifikate verwendet werden… das solltest du wissen. Hat da keiner was zu dokumentiert?

Grüße

tomolpi
149569
149569 12.11.2021 aktualisiert um 08:50:02 Uhr
Goto Top
Löschen kann man alles, ob das bei dir aber überhaupt sinnvoll/schmerzfrei ist kommt auf deine Umgebung und dein Backup an... Typische Freitagsfrage 🐟
lcer00
lcer00 12.11.2021 um 10:17:59 Uhr
Goto Top
Hallo,

wenn die CA tatsächlich "ContosoCA" heißt, kannst Du sie löschen, weil - dann ist es ja nur ein Testsystem.

Ansonsten - was kann schon passieren (abhängig von der Konfiguration)?
  • dein Switch verweigert die Netzwerkkonnektivität
  • das WLAN verbindet nicht
  • Du hast keinen Zugriff auf Freigaben mehr
  • Du kannst nicht mehr per RDP auf diesen oder auf andere PCs/Server zugreifen
  • die Anmeldung an der Domäne scheitert
  • ...

Wie Du siehst, das ideale Freitagsthema. Mach das am besten gleich, dann hast Du bis Montag 7:00 Zeit alles wieder zum Laufen zu kriegen.

Grüße

lcer
FUHSSrfe
FUHSSrfe 12.11.2021 um 12:50:32 Uhr
Goto Top
Zitat von @tomolpi:

Zitat von @FUHSSrfe:

Hey kurze Frage, kann ich die ganzen Computerzertifikate ("ContosoCA$"), die von der zentralen CA kommen löschen?
Natürlich kannst du das.
Aber ob das in deinem Fall sinnvoll ist?
Das wird dir hier ohne weitere Infos keiner sagen können!

Wir wissen ja nicht, wofür die Zertifikate verwendet werden… das solltest du wissen. Hat da keiner was zu dokumentiert?

Grüße

tomolpi

Naja ich denke eifnach, dass das bei jedem normalen ADCS der Fall ist, dass die CA diese Zertifikate erstellt. Die Vorlage heißt "Zertifizierungsstellenaustausch (CAExchange)"
FUHSSrfe
FUHSSrfe 12.11.2021 um 12:51:52 Uhr
Goto Top
Zitat von @lcer00:

Hallo,

wenn die CA tatsächlich "ContosoCA" heißt, kannst Du sie löschen, weil - dann ist es ja nur ein Testsystem.

Ansonsten - was kann schon passieren (abhängig von der Konfiguration)?
  • dein Switch verweigert die Netzwerkkonnektivität
  • das WLAN verbindet nicht
  • Du hast keinen Zugriff auf Freigaben mehr
  • Du kannst nicht mehr per RDP auf diesen oder auf andere PCs/Server zugreifen
  • die Anmeldung an der Domäne scheitert
  • ...

Wie Du siehst, das ideale Freitagsthema. Mach das am besten gleich, dann hast Du bis Montag 7:00 Zeit alles wieder zum Laufen zu kriegen.

Grüße

lcer

Natürlich heißt die CA nicht "ContosoCA", sondern anders. Privatsphäre und so. Danke für die Tipps
lcer00
lcer00 12.11.2021 um 13:14:07 Uhr
Goto Top
Hallo,
Zitat von @FUHSSrfe:

Naja ich denke eifnach, dass das bei jedem normalen ADCS der Fall ist, dass die CA diese Zertifikate erstellt. Die Vorlage heißt "Zertifizierungsstellenaustausch (CAExchange)"
Nö, das einzige, was per "Grundeinstellung" verteilt wird, sind die Zertifikate der Unternehmens-CAs. Diese werden im Speicher "Vertrauenswürdige Stammzertifizierungsstellen" und ggf. auch noch in "Zwischenzertifizierungsstellen" abgelegt. Alles andere "automatische" muss man (per GPO) konfigurieren. Wenn also ein automatisches Ausrollen von Computerzertifikaten stattfindet, hat sich irgendwer irgendetwas dabei gedacht.

Die "Zertifizierungsstellenaustausch (CAExchange)" wird auch nicht automatisch für X-Beliebige Rechner verwendet.

Statt die Zertifikate zu löschen, solltest Du nachsehen, wieso die verteilt wird. Irgendwo gibt es eine GPO die das Autoenrollment aktiviert. Und die Vorlage muss die "Automatisch Registrieren"-Berechtigung für irgendeine Computergruoppe haben.

https://docs.microsoft.com/en-us/windows-server/networking/core-network- ...

Grüße

lcer
149569
149569 12.11.2021 aktualisiert um 13:50:45 Uhr
Goto Top
Naja ich denke eifnach, dass das bei jedem normalen ADCS der Fall ist, dass die CA diese Zertifikate erstellt. Die Vorlage heißt "Zertifizierungsstellenaustausch (CAExchange)"
Nein ist es nicht, das ist nur aktiv wenn ein KRA zur Archivierung der private Keys genutzt werden soll. Denn damit werden die private Keys für die Übertragung an die CA verschlüsselt.

Hier wird erklärt was es damit auf sich hat ...
https://social.technet.microsoft.com/Forums/en-US/5cdf1265-e393-4c74-84e ...

Du musst also schauen ob irgendeins eurer Templates in den Features die Archivierung der PrivateKeys nutzt und ob der KRA in den CA-Eigenschaften aktiviert ist. Erst dann kommen diese Certs zum Einsatz um die private Keys bestimmter Zertifikate zu verschlüsseln und zu archivieren.

screenshot

Und wenn, die Verwaltung dieser Certs regelt die CA dann automatisch.

Siehe auch
Managing Key Archival and Recovery
Teil 5c: Schlüsselarchivierung für eine Zertifizierungsstelle aktivieren

Also wie immer, erster Schritt: Thema grundlegend verstehen bevor man handelt.