6
AD - Einstufige PKI auf zweistufige PKI migrieren
Hallo zusammen,
wir haben bei uns derzeit eine einstufige PKI. Das CA-Zertifikat läuft 2027 aus und ich plane die CA durch eine zweistufige PKI zu ersetzen. Unsere derzeitige CA ist Mitglied in unserem AD und derzeit unsere einzige Zertifizierungsstelle.
Mein Plan ist, die neue zweistufige PKI nebenher aufzubauen und zu konfigurieren. Sobald alle benötigten Templates angelegt sind, würde ich gerne alle neu benötigten Zertifikate über die neue ISSUING-CA ausstellen lassen. Dann könnte die alte CA abgeschaltet werden, sobald alle Zertifikate abgelaufen sind.
Nun habe ich zu diesem Prozess noch ein paar Fragen, die ich mit Googlen bislang nicht erschließen konnte.
Vielleicht findet sich ja jemand der mich hier aufklären kann. Ich habe ein bisschen Schiss unser AD dabei zu schrotten. Macht wahrscheinlich Sinn, wenn ich mir ein paar VMs mit einem AD zum Testen aufsetze.
Gruß,
PMacke
wir haben bei uns derzeit eine einstufige PKI. Das CA-Zertifikat läuft 2027 aus und ich plane die CA durch eine zweistufige PKI zu ersetzen. Unsere derzeitige CA ist Mitglied in unserem AD und derzeit unsere einzige Zertifizierungsstelle.
Mein Plan ist, die neue zweistufige PKI nebenher aufzubauen und zu konfigurieren. Sobald alle benötigten Templates angelegt sind, würde ich gerne alle neu benötigten Zertifikate über die neue ISSUING-CA ausstellen lassen. Dann könnte die alte CA abgeschaltet werden, sobald alle Zertifikate abgelaufen sind.
Nun habe ich zu diesem Prozess noch ein paar Fragen, die ich mit Googlen bislang nicht erschließen konnte.
- Ist das überhaupt möglich, eine zweite PKI im AD neben einer bestehenden aufzubauen?
- Woran machen AD-Clients das fest, von welcher CA sie Zertifikate beziehen? Wir nutzen nämlich Computerzertifikate. Diese werden automatisch vom Client angefordert. Dies ist per GPO konfiguriert. Dort ist aber nicht explizit eine CA angegeben. Das kann doch wohl kaum zufällig erfolgen oder?
Vielleicht findet sich ja jemand der mich hier aufklären kann. Ich habe ein bisschen Schiss unser AD dabei zu schrotten. Macht wahrscheinlich Sinn, wenn ich mir ein paar VMs mit einem AD zum Testen aufsetze.
Gruß,
PMacke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 84078600677
Url: https://administrator.de/contentid/84078600677
Printed on: June 16, 2024 at 23:06 o'clock
6 Comments
Latest comment
Hi,
warum eine neue PKI aufbauen und nicht aus der einstufigen einfach eine zweistufige machen?
Wir hatten vor Jahren schon mal den Fall, dass wir zwei einstufige CA parallel im Forest hatten. Ich weiß leider nicht mehr den Grund dafür. Aber ich weiß noch, dass der Zweite dann die zentralen Vorlagen des Ersten, welche ja im AD gespeichert sind, übernommen hat. Die AD-Objekte dafür findest Du in der Konfigurationspartition des Forest.
CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld
E.
warum eine neue PKI aufbauen und nicht aus der einstufigen einfach eine zweistufige machen?
Wir hatten vor Jahren schon mal den Fall, dass wir zwei einstufige CA parallel im Forest hatten. Ich weiß leider nicht mehr den Grund dafür. Aber ich weiß noch, dass der Zweite dann die zentralen Vorlagen des Ersten, welche ja im AD gespeichert sind, übernommen hat. Die AD-Objekte dafür findest Du in der Konfigurationspartition des Forest.
CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld
E.
2
Moin,
@emeriks
Gruß,
Dani
Ist das überhaupt möglich, eine zweite PKI im AD neben einer bestehenden aufzubauen?
Ja.Woran machen AD-Clients das fest, von welcher CA sie Zertifikate beziehen? Wir nutzen nämlich Computerzertifikate. Diese werden automatisch vom Client angefordert. Dies ist per GPO konfiguriert. Dort ist aber nicht explizit eine CA angegeben. Das kann doch wohl kaum zufällig erfolgen oder?
Ich vermute mal die Info kommt über einen Service Connection Points (SCPs) im AD. Kollege @emeriks wird das vermutlich detaillierter Wissen.@emeriks
warum eine neue PKI aufbauen und nicht aus der einstufigen einfach eine zweistufige machen?
Gerne werden damit auch Altlasten und evtl. Fehler (LDAP Pfade, Pfade zu OCSP/Sperrlisten, Permissions, etc.)beseitigt. Je nachdem wie schwerwiegend diese sind, ist oftmals ein Neuanfang der präferierte Weg.Gruß,
Dani
Quote from @PMacke:
- Woran machen AD-Clients das fest, von welcher CA sie Zertifikate beziehen? Wir nutzen nämlich Computerzertifikate. Diese werden automatisch vom Client angefordert. Dies ist per GPO konfiguriert. Dort ist aber nicht explizit eine CA angegeben. Das kann doch wohl kaum zufällig erfolgen oder?
In der Standardkonfiguration würden die Clients Zertifikate, deren Templates von beiden CAs bereitgestellt werden, zufällig abrufen. Für eine einfache Migration reicht es daher aus, die Templates von der alten CA zu entfernen, sobald die neue sie verfügbar gemacht hat.
Beim dauerhaften Betrieb mehrerer CAs mit denselben Templates könnte man das mit ADCS Site-Awareness steuern.
Grüße
Richard
Zitat von @emeriks:
Hi,
warum eine neue PKI aufbauen und nicht aus der einstufigen einfach eine zweistufige machen?
Wir hatten vor Jahren schon mal den Fall, dass wir zwei einstufige CA parallel im Forest hatten. Ich weiß leider nicht mehr den Grund dafür. Aber ich weiß noch, dass der Zweite dann die zentralen Vorlagen des Ersten, welche ja im AD gespeichert sind, übernommen hat. Die AD-Objekte dafür findest Du in der Konfigurationspartition des Forest.
CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld
E.
Hi,
warum eine neue PKI aufbauen und nicht aus der einstufigen einfach eine zweistufige machen?
Wir hatten vor Jahren schon mal den Fall, dass wir zwei einstufige CA parallel im Forest hatten. Ich weiß leider nicht mehr den Grund dafür. Aber ich weiß noch, dass der Zweite dann die zentralen Vorlagen des Ersten, welche ja im AD gespeichert sind, übernommen hat. Die AD-Objekte dafür findest Du in der Konfigurationspartition des Forest.
CN=Public Key Services,CN=Services,CN=Configuration,DC=domain,DC=tld
E.
Die Konfiguration zeige ich mir über den ADSI-Editor an oder? Dort sehe ich nur die eine bestehende CA. Also erstmal alles richtig. Muss ich hier per Hand aufräumen, sobald ich die alte CA außer Betrieb nehme oder einfach die Rolle deinstallieren?
Zum Thema aus der einstufigen CA eine zweistufige machen:
Dann hätte ich ja alle Zertifikate die bisher ausgegeben sind, von der offline CA signiert. Eigentlich soll diese CA doch nur die SUB-CAs signieren. Des Weiteren wurde die CA von einem ehemaligen Kollegen aufgesetzt - natürlich ohne Doku. Deshalb möchte ich das einmal sauber neu aufsetzen und dokumentieren. Wenn ich mir mit pkiview.msc die CA anschaue, bekomme ich bei AIA auch den Fehler "Download nicht mögich". Hier scheint also auch schon etwas nicht sauber zu sein.
Zitat von @Dani:
Moin,
Moin,
Ist das überhaupt möglich, eine zweite PKI im AD neben einer bestehenden aufzubauen?
Ja.Also keine Gefahr die funktionierende PKI zu zerstören? Im schlimmsten Fall einfach die neue PKI herunterfahren und alles ist beim Alten?
@emeriks
warum eine neue PKI aufbauen und nicht aus der einstufigen einfach eine zweistufige machen?
Gerne werden damit auch Altlasten und evtl. Fehler (LDAP Pfade, Pfade zu OCSP/Sperrlisten, Permissions, etc.)beseitigt. Je nachdem wie schwerwiegend diese sind, ist oftmals ein Neuanfang der präferierte Weg.Das ist auch der Hintergrund - einmal alles sauber neu aufsetzen und dokumentieren. Siehe meine andere Antwort.
Zitat von @c.r.s.:
In der Standardkonfiguration würden die Clients Zertifikate, deren Templates von beiden CAs bereitgestellt werden, zufällig abrufen. Für eine einfache Migration reicht es daher aus, die Templates von der alten CA zu entfernen, sobald die neue sie verfügbar gemacht hat.
Beim dauerhaften Betrieb mehrerer CAs mit denselben Templates könnte man das mit ADCS Site-Awareness steuern.
Grüße
Richard
Quote from @PMacke:
- Woran machen AD-Clients das fest, von welcher CA sie Zertifikate beziehen? Wir nutzen nämlich Computerzertifikate. Diese werden automatisch vom Client angefordert. Dies ist per GPO konfiguriert. Dort ist aber nicht explizit eine CA angegeben. Das kann doch wohl kaum zufällig erfolgen oder?
In der Standardkonfiguration würden die Clients Zertifikate, deren Templates von beiden CAs bereitgestellt werden, zufällig abrufen. Für eine einfache Migration reicht es daher aus, die Templates von der alten CA zu entfernen, sobald die neue sie verfügbar gemacht hat.
Beim dauerhaften Betrieb mehrerer CAs mit denselben Templates könnte man das mit ADCS Site-Awareness steuern.
Grüße
Richard
Danke für die Antwort. Ich setze mir mal eine Testumgebung auf und teste das Verhalten durch.