Automatische Zertifikatregistrierung bei neuer CA
Hallo zusammen,
ich habe (.... bitte nicht fragen wieso ....) unseren alten 2012 R2 DC auf dem die Stamm-CA lief sauber weginstalliert und dabei auch die CA entfernt. Die übrigen rollen wurden auf einen neuen DC 2012 R2 migriert, eine neue Unternehmens-CA wurde angelegt. Die alten Computerzertifikate hatte ich vorher nicht gesperrt, da ich befürchtete, dass dann unsere Sicherheitsrichtlinien, die eine Zertifikatbasierte Authentifizierung fordern, die Verbund der DCs untereinander verhindern würden. Ich hatte erwartet, dass die automatische Zertifikatregistrierung dann die neuen Computerzertifikate (Zertifikatvorlage Computer) neu verteilt. Das hat erstmal nicht geklappt. Das neue Zertifizierungsstellenzertifikat wurde zwar in der Domäne verteilt, die Clients scheinen aber mit den alten Computerzertifikaten zufrieden zu sein (sind ja auch noch gültig, weil nicht gesperrt). Zwischenzeitlich brach dann doch die Verbindung zu einem DC ab (digital signieren ein - auf beiden Seiten unterschiedliche Zertifikate), so dass ich dann die Richtlinien "Microsoft-Netzwerk (Server): Kommunikation digital signieren" deaktivieren musste - manuell am isolierten DC ... und an den anderen zentral. Für die DCs habe ich dann neue Domäncontrollerzertifikate angefordert, was dann auch klappte. Jetzt habe ich folgendes Problem:
Die Domänen-Computer holen sich kein neues Zertifikat, das sie ja ein altes haben. Das alte ist noch gültig und wird vom Autoenrollment offenbar nicht neu angefordert. Ich habe sicherheitshalber eine neue GPO erstellt, die das Autoenrollment für die Vorlage "Computer" einstellt - das hat auch nichts genützt. Ich könnte jetzt zu jedem PC gehen, ein neues Zertifikat manuell anfordern und das alte dann ersetzen. Lieber würde ich aber am Schreibtisch sitzen bleiben.
Ich hatte schon die Idee, den alten DC als isolierte VM (ohne Netzwerk) wiederherzustellen, alle Zertifikate zu sperren und die Sperrliste manuell an die Verteilungspunkte zu kopieren. Hat jemand eine bessere Idee? Gibt es eine Möglichkeit Zertifikate bestimmter Zertifizierungsstellen per Powershellskript aus dem Zertifikatsspeicher zu entfernen - habe nichts diesbezüglich gefunden ...
Eigentlich sollten man doch seit der Bankenkriese wissen: mit Zertifikaten spielt man nicht .....
Grüße
lcer
ich habe (.... bitte nicht fragen wieso ....) unseren alten 2012 R2 DC auf dem die Stamm-CA lief sauber weginstalliert und dabei auch die CA entfernt. Die übrigen rollen wurden auf einen neuen DC 2012 R2 migriert, eine neue Unternehmens-CA wurde angelegt. Die alten Computerzertifikate hatte ich vorher nicht gesperrt, da ich befürchtete, dass dann unsere Sicherheitsrichtlinien, die eine Zertifikatbasierte Authentifizierung fordern, die Verbund der DCs untereinander verhindern würden. Ich hatte erwartet, dass die automatische Zertifikatregistrierung dann die neuen Computerzertifikate (Zertifikatvorlage Computer) neu verteilt. Das hat erstmal nicht geklappt. Das neue Zertifizierungsstellenzertifikat wurde zwar in der Domäne verteilt, die Clients scheinen aber mit den alten Computerzertifikaten zufrieden zu sein (sind ja auch noch gültig, weil nicht gesperrt). Zwischenzeitlich brach dann doch die Verbindung zu einem DC ab (digital signieren ein - auf beiden Seiten unterschiedliche Zertifikate), so dass ich dann die Richtlinien "Microsoft-Netzwerk (Server): Kommunikation digital signieren" deaktivieren musste - manuell am isolierten DC ... und an den anderen zentral. Für die DCs habe ich dann neue Domäncontrollerzertifikate angefordert, was dann auch klappte. Jetzt habe ich folgendes Problem:
Die Domänen-Computer holen sich kein neues Zertifikat, das sie ja ein altes haben. Das alte ist noch gültig und wird vom Autoenrollment offenbar nicht neu angefordert. Ich habe sicherheitshalber eine neue GPO erstellt, die das Autoenrollment für die Vorlage "Computer" einstellt - das hat auch nichts genützt. Ich könnte jetzt zu jedem PC gehen, ein neues Zertifikat manuell anfordern und das alte dann ersetzen. Lieber würde ich aber am Schreibtisch sitzen bleiben.
Ich hatte schon die Idee, den alten DC als isolierte VM (ohne Netzwerk) wiederherzustellen, alle Zertifikate zu sperren und die Sperrliste manuell an die Verteilungspunkte zu kopieren. Hat jemand eine bessere Idee? Gibt es eine Möglichkeit Zertifikate bestimmter Zertifizierungsstellen per Powershellskript aus dem Zertifikatsspeicher zu entfernen - habe nichts diesbezüglich gefunden ...
Eigentlich sollten man doch seit der Bankenkriese wissen: mit Zertifikaten spielt man nicht .....
Grüße
lcer
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 352202
Url: https://administrator.de/forum/automatische-zertifikatregistrierung-bei-neuer-ca-352202.html
Ausgedruckt am: 08.04.2025 um 17:04 Uhr
5 Kommentare
Neuester Kommentar
Hi,
Schau mal hier: https://social.technet.microsoft.com/Forums/windows/en-US/3314021d-ad2a- ...
Auf die Schnelle gefunden. Vielleicht ein Denkanstoss in die richtige Richtung
E.
Ich hatte schon die Idee, den alten DC als isolierte VM (ohne Netzwerk) wiederherzustellen, alle Zertifikate zu sperren und die Sperrliste manuell an die Verteilungspunkte zu kopieren.
Das scheint mir nicht die dümmste Idee zu sein.Gibt es eine Möglichkeit Zertifikate bestimmter Zertifizierungsstellen per Powershellskript aus dem Zertifikatsspeicher zu entfernen
Das wäre dann Plan B, welchen ich Dir vorgeschlagen hätte.Schau mal hier: https://social.technet.microsoft.com/Forums/windows/en-US/3314021d-ad2a- ...
Auf die Schnelle gefunden. Vielleicht ein Denkanstoss in die richtige Richtung
E.
Moin,
Gruß,
Dani
ich mach das schon zu. Das letzte Fragezeichen steht da aber noch.... Oder müsste ich da ein neues Thread aufmachen ....
natürlich nicht.Die Variante Sperrliste habe ich nicht probiert. In den Zertifikaten war nur eine LDAP Sperrlistenverteilungspunkt angegeben. Ich hatte dann keine Idee wie ich die Sperrliste nachträglich in das Active Directory bekomme. Weiss jemand, wie das gegangen wäre?
Leider kann ich dir keine Lösung nennen. Denn im Normalfall nutzt man für den Abruf der Sperrlisten ausschließlich die Abfrage über HTTP. Denn spätestens wenn die Sperrliste über das Internet erreichbar sein muss, fällt dir LDAP auf die Füße.Gruß,
Dani