2
Domänenmigration Zertifizierungsstelle
Hallo liebe Admins,
derzeit migriere ich unsere Domänencontroller (2x 2008R2) auf 2012R2. Die Migration als solche ist meiner Meinung nach zu 90% abgeschlossen aber leider wurde unsere CA auf einen Domänencontroller installiert (letzter zu migrierender Dienst). Für die Zukunft möchte ich diesen Zustand ändern und einen separaten Server zur Verfügung stellen, welcher mittlerweile auch fertig installiert ist. So langsam sollte die CA deshalb umziehen. Wichtig ist mir dabei, dass alle ausgestellten Zertifikate gültig bleiben (vor allem das Rootcer). So wie ich einige Vorgehensweisen verstanden habe ist die problemlos möglich, sofern die CA ihren Namen (nicht Servernamen) behält.
Angedachte Vorgehensweise:
1) CA sichern (über die mmc)
2) Regkeys sichern (Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\CertSvc\Configuration)
3) CA Rollendienst auf neuen Server installieren (vorhandener privater Schlüssel + Zertifikat im Assistenten wählen)
4) Regkey wieder einspielen
Quelle: http://technikblog.rachfahl.de/losungen/umzug-einer-pki-von-windows-ser ...
Meine Fragen:
1) Hat wer schon Erfahrung mit einer ähnlichen Migration gehabt?
2) Kann man dies im Tagesgeschäft abwickeln?
3) Gibt es Besonderheiten, die es zu beachten gibt?
Vielen Dank für jegliche Hinweise und Anregungen…
Gruß,
Norman
derzeit migriere ich unsere Domänencontroller (2x 2008R2) auf 2012R2. Die Migration als solche ist meiner Meinung nach zu 90% abgeschlossen aber leider wurde unsere CA auf einen Domänencontroller installiert (letzter zu migrierender Dienst). Für die Zukunft möchte ich diesen Zustand ändern und einen separaten Server zur Verfügung stellen, welcher mittlerweile auch fertig installiert ist. So langsam sollte die CA deshalb umziehen. Wichtig ist mir dabei, dass alle ausgestellten Zertifikate gültig bleiben (vor allem das Rootcer). So wie ich einige Vorgehensweisen verstanden habe ist die problemlos möglich, sofern die CA ihren Namen (nicht Servernamen) behält.
Angedachte Vorgehensweise:
1) CA sichern (über die mmc)
2) Regkeys sichern (Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\CertSvc\Configuration)
3) CA Rollendienst auf neuen Server installieren (vorhandener privater Schlüssel + Zertifikat im Assistenten wählen)
4) Regkey wieder einspielen
Quelle: http://technikblog.rachfahl.de/losungen/umzug-einer-pki-von-windows-ser ...
Meine Fragen:
1) Hat wer schon Erfahrung mit einer ähnlichen Migration gehabt?
2) Kann man dies im Tagesgeschäft abwickeln?
3) Gibt es Besonderheiten, die es zu beachten gibt?
Vielen Dank für jegliche Hinweise und Anregungen…
Gruß,
Norman
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 289856
Url: https://administrator.de/contentid/289856
Printed on: April 25, 2024 at 15:04 o'clock
2 Comments
Latest comment
Moin Belloci,
geht exakt wie du beschrieben hast, auch im laufenden Betrieb, meines Wissens nach keine Besonderheiten zu beachten.
Haben bei einem unserer Kunden in den letzten Jahren die CA schon mehrfach so umgezogen und es gab nie Probleme. Und solange nicht exakt in dem Zeitraum in dem du sie umziehst jemand/ein Server ein Zertifikat beantragen oder erneuern will merkt das auch keiner.
geht exakt wie du beschrieben hast, auch im laufenden Betrieb, meines Wissens nach keine Besonderheiten zu beachten.
Haben bei einem unserer Kunden in den letzten Jahren die CA schon mehrfach so umgezogen und es gab nie Probleme. Und solange nicht exakt in dem Zeitraum in dem du sie umziehst jemand/ein Server ein Zertifikat beantragen oder erneuern will merkt das auch keiner.
Hallo Chibisuke,
lieben Dank für deine Rückmeldung. Ich lass den Thread noch bis Nachmittag als "ungelöst" laufen. Eventuell hat ja doch noch wer etwas zu sagen
.
Danke und Gruß,
Norman
lieben Dank für deine Rückmeldung. Ich lass den Thread noch bis Nachmittag als "ungelöst" laufen. Eventuell hat ja doch noch wer etwas zu sagen
.Danke und Gruß,
Norman
