pmacke
Goto Top

AD - Einstufige PKI auf zweistufige PKI migrieren

Hallo zusammen,

wir haben bei uns derzeit eine einstufige PKI. Das CA-Zertifikat läuft 2027 aus und ich plane die CA durch eine zweistufige PKI zu ersetzen. Unsere derzeitige CA ist Mitglied in unserem AD und derzeit unsere einzige Zertifizierungsstelle.

Mein Plan ist, die neue zweistufige PKI nebenher aufzubauen und zu konfigurieren. Sobald alle benötigten Templates angelegt sind, würde ich gerne alle neu benötigten Zertifikate über die neue ISSUING-CA ausstellen lassen. Dann könnte die alte CA abgeschaltet werden, sobald alle Zertifikate abgelaufen sind.

Nun habe ich zu diesem Prozess noch ein paar Fragen, die ich mit Googlen bislang nicht erschließen konnte.
  • Ist das überhaupt möglich, eine zweite PKI im AD neben einer bestehenden aufzubauen?
  • Woran machen AD-Clients das fest, von welcher CA sie Zertifikate beziehen? Wir nutzen nämlich Computerzertifikate. Diese werden automatisch vom Client angefordert. Dies ist per GPO konfiguriert. Dort ist aber nicht explizit eine CA angegeben. Das kann doch wohl kaum zufällig erfolgen oder?

Vielleicht findet sich ja jemand der mich hier aufklären kann. Ich habe ein bisschen Schiss unser AD dabei zu schrotten. Macht wahrscheinlich Sinn, wenn ich mir ein paar VMs mit einem AD zum Testen aufsetze.

Gruß,
PMacke

Content-Key: 84078600677

Url: https://administrator.de/contentid/84078600677

Printed on: June 16, 2024 at 23:06 o'clock

Member: emeriks
emeriks May 24, 2024 at 13:24:26 (UTC)
Goto Top
Hi,
warum eine neue PKI aufbauen und nicht aus der einstufigen einfach eine zweistufige machen?

Wir hatten vor Jahren schon mal den Fall, dass wir zwei einstufige CA parallel im Forest hatten. Ich weiß leider nicht mehr den Grund dafür. Aber ich weiß noch, dass der Zweite dann die zentralen Vorlagen des Ersten, welche ja im AD gespeichert sind, übernommen hat. Die AD-Objekte dafür findest Du in der Konfigurationspartition des Forest.

CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld

E.
Member: Dani
Dani May 24, 2024 at 18:10:17 (UTC)
Goto Top
Moin,
Ist das überhaupt möglich, eine zweite PKI im AD neben einer bestehenden aufzubauen?
Ja.

Woran machen AD-Clients das fest, von welcher CA sie Zertifikate beziehen? Wir nutzen nämlich Computerzertifikate. Diese werden automatisch vom Client angefordert. Dies ist per GPO konfiguriert. Dort ist aber nicht explizit eine CA angegeben. Das kann doch wohl kaum zufällig erfolgen oder?
Ich vermute mal die Info kommt über einen Service Connection Points (SCPs) im AD. Kollege @emeriks wird das vermutlich detaillierter Wissen.

@emeriks
warum eine neue PKI aufbauen und nicht aus der einstufigen einfach eine zweistufige machen?
Gerne werden damit auch Altlasten und evtl. Fehler (LDAP Pfade, Pfade zu OCSP/Sperrlisten, Permissions, etc.)beseitigt. Je nachdem wie schwerwiegend diese sind, ist oftmals ein Neuanfang der präferierte Weg.


Gruß,
Dani
Member: C.R.S.
C.R.S. May 24, 2024 at 19:59:09 (UTC)
Goto Top
Quote from @PMacke:

  • Woran machen AD-Clients das fest, von welcher CA sie Zertifikate beziehen? Wir nutzen nämlich Computerzertifikate. Diese werden automatisch vom Client angefordert. Dies ist per GPO konfiguriert. Dort ist aber nicht explizit eine CA angegeben. Das kann doch wohl kaum zufällig erfolgen oder?

In der Standardkonfiguration würden die Clients Zertifikate, deren Templates von beiden CAs bereitgestellt werden, zufällig abrufen. Für eine einfache Migration reicht es daher aus, die Templates von der alten CA zu entfernen, sobald die neue sie verfügbar gemacht hat.
Beim dauerhaften Betrieb mehrerer CAs mit denselben Templates könnte man das mit ADCS Site-Awareness steuern.

Grüße
Richard
Member: PMacke
PMacke May 27, 2024 at 09:34:40 (UTC)
Goto Top
Zitat von @emeriks:

Hi,
warum eine neue PKI aufbauen und nicht aus der einstufigen einfach eine zweistufige machen?

Wir hatten vor Jahren schon mal den Fall, dass wir zwei einstufige CA parallel im Forest hatten. Ich weiß leider nicht mehr den Grund dafür. Aber ich weiß noch, dass der Zweite dann die zentralen Vorlagen des Ersten, welche ja im AD gespeichert sind, übernommen hat. Die AD-Objekte dafür findest Du in der Konfigurationspartition des Forest.

CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld

E.

Die Konfiguration zeige ich mir über den ADSI-Editor an oder? Dort sehe ich nur die eine bestehende CA. Also erstmal alles richtig. Muss ich hier per Hand aufräumen, sobald ich die alte CA außer Betrieb nehme oder einfach die Rolle deinstallieren?

Zum Thema aus der einstufigen CA eine zweistufige machen:
Dann hätte ich ja alle Zertifikate die bisher ausgegeben sind, von der offline CA signiert. Eigentlich soll diese CA doch nur die SUB-CAs signieren. Des Weiteren wurde die CA von einem ehemaligen Kollegen aufgesetzt - natürlich ohne Doku. Deshalb möchte ich das einmal sauber neu aufsetzen und dokumentieren. Wenn ich mir mit pkiview.msc die CA anschaue, bekomme ich bei AIA auch den Fehler "Download nicht mögich". Hier scheint also auch schon etwas nicht sauber zu sein.
Member: PMacke
PMacke May 27, 2024 at 09:37:30 (UTC)
Goto Top
Zitat von @Dani:

Moin,
Ist das überhaupt möglich, eine zweite PKI im AD neben einer bestehenden aufzubauen?
Ja.

Also keine Gefahr die funktionierende PKI zu zerstören? Im schlimmsten Fall einfach die neue PKI herunterfahren und alles ist beim Alten?

@emeriks
warum eine neue PKI aufbauen und nicht aus der einstufigen einfach eine zweistufige machen?
Gerne werden damit auch Altlasten und evtl. Fehler (LDAP Pfade, Pfade zu OCSP/Sperrlisten, Permissions, etc.)beseitigt. Je nachdem wie schwerwiegend diese sind, ist oftmals ein Neuanfang der präferierte Weg.

Das ist auch der Hintergrund - einmal alles sauber neu aufsetzen und dokumentieren. Siehe meine andere Antwort.
Member: PMacke
PMacke May 27, 2024 at 09:38:44 (UTC)
Goto Top
Zitat von @c.r.s.:

Quote from @PMacke:

  • Woran machen AD-Clients das fest, von welcher CA sie Zertifikate beziehen? Wir nutzen nämlich Computerzertifikate. Diese werden automatisch vom Client angefordert. Dies ist per GPO konfiguriert. Dort ist aber nicht explizit eine CA angegeben. Das kann doch wohl kaum zufällig erfolgen oder?

In der Standardkonfiguration würden die Clients Zertifikate, deren Templates von beiden CAs bereitgestellt werden, zufällig abrufen. Für eine einfache Migration reicht es daher aus, die Templates von der alten CA zu entfernen, sobald die neue sie verfügbar gemacht hat.
Beim dauerhaften Betrieb mehrerer CAs mit denselben Templates könnte man das mit ADCS Site-Awareness steuern.

Grüße
Richard

Danke für die Antwort. Ich setze mir mal eine Testumgebung auf und teste das Verhalten durch.