6
Domänencontroller Zertifikate erneuern
Hallo,
ich habe eine Domäne übernommen die leider nie richtig gepflegt bzw. dokumentiert wurde.
Das einzige was ich als Vermerk von meinem Vorgänger erhalten habe ist, dass das DC Zertifikate erneuert werden muss.
Was existiert sind zwei Zertifikatsserver, der ROOT-CA ist ausgeschaltet, der CA-CA ist eingeschaltet.
Auf dem Domänencontroller achgesehen befinden sich unter den lokalen Zertifikaten zwei Zertifikate, diese sind jeweils ausgestellt vom CA Server. Ein Zertifikat ist ein Domain-Controller Template, das zweite Template "Firmenname-Computer."
Wenn ich diesen erneuern will (rechtsklick Zertifikat mit neuem Schlüssel erneuern oder selben Schlüssel erneuern) kommt die Meldung, dass der Sperrserver CA Offline ist.
Ich bin wirklich ratlos was ich tun soll, bzw. wie ich die Zertifikate des Domänenserver erneuern kann. Das ROOT-CA Zertifikat ist nicht abgelaufen.
Habt ihr einen Rat?
ich habe eine Domäne übernommen die leider nie richtig gepflegt bzw. dokumentiert wurde.
Das einzige was ich als Vermerk von meinem Vorgänger erhalten habe ist, dass das DC Zertifikate erneuert werden muss.
Was existiert sind zwei Zertifikatsserver, der ROOT-CA ist ausgeschaltet, der CA-CA ist eingeschaltet.
Auf dem Domänencontroller achgesehen befinden sich unter den lokalen Zertifikaten zwei Zertifikate, diese sind jeweils ausgestellt vom CA Server. Ein Zertifikat ist ein Domain-Controller Template, das zweite Template "Firmenname-Computer."
Wenn ich diesen erneuern will (rechtsklick Zertifikat mit neuem Schlüssel erneuern oder selben Schlüssel erneuern) kommt die Meldung, dass der Sperrserver CA Offline ist.
Ich bin wirklich ratlos was ich tun soll, bzw. wie ich die Zertifikate des Domänenserver erneuern kann. Das ROOT-CA Zertifikat ist nicht abgelaufen.
Habt ihr einen Rat?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 400009
Url: https://administrator.de/contentid/400009
Printed on: April 28, 2024 at 15:04 o'clock
6 Comments
Latest comment
moin...
öffne mal
dort wirst du sehen wo die crl veröffentlicht worden ist!
Frank
öffne mal
pkiview.mscFrank
Moin,
Ansonsten das Zertifikat auf dem DC mit einem Doppelklick öffnen, Reiter Details und dort Sperrlisten-Verteilungspunkte. Ich hoffe, a) den dort angegeben Server gibt es noch b) keine Publizierung per LDAP u.ä. sondern ausschließlich per HTTP.
Gruß,
Dani
pkiview.msc
diesen Befehl führst auf dem Server mit der Rolle PKI aus!Ansonsten das Zertifikat auf dem DC mit einem Doppelklick öffnen, Reiter Details und dort Sperrlisten-Verteilungspunkte. Ich hoffe, a) den dort angegeben Server gibt es noch b) keine Publizierung per LDAP u.ä. sondern ausschließlich per HTTP.
Das ROOT-CA Zertifikat läuft noch gute 3 Jahre.
Da wirst du mittelfristig ganz andere Problem erhalten. Denn du kannst kein Zertifikat austellen, dass länger als drei Jahre gültig ist. Wobei in deinem Fall nicht nur die Laufzeit des Zertifikats der Root-CA eine Rolle spielt, sondern auch das der Sub-CA.Ein Zertifikat ist ein Domain-Controller Template, das zweite Template "Firmenname-Computer."
Ich vermute, dass das Zertifikat das mit Hilfe des DC-Templates erzeugt wurde, für LDAPS verwendet wird. Das kannst mit LDAP-Browser-Tool einfach überprüfen.Gruß,
Dani
Hallo Dani,
kurze Frage wieso sollte man die CRL nicht in LDAP veröffentlichen?
Danke und Gruß
dodo
kurze Frage wieso sollte man die CRL nicht in LDAP veröffentlichen?
Danke und Gruß
dodo
@dodo30
Gruß,
Dani
kurze Frage wieso sollte man die CRL nicht in LDAP veröffentlichen?
Gegenfrage: Warum sollte man LDAP nutzen? Gruß,
Dani
Das habe ich gemacht und da sehe ich, dass die "CDP Location 1&2" abgelaufen ist, ist das der Grund für "Sperrserver ist Offline" ? Bzw. wie kann ich den Ablauf wieder rückgängig machen bzw. erneuern?
Ansonsten das Zertifikat auf dem DC mit einem Doppelklick öffnen, Reiter Details und dort Sperrlisten-Verteilungspunkte. Ich hoffe, a) den dort angegeben Server gibt es noch b) keine Publizierung per LDAP u.ä. sondern ausschließlich per HTTP.
Da ist beides drin, einmal LDAP und HTTP
Kannst du mir bitte weiterhelfen?
Ansonsten das Zertifikat auf dem DC mit einem Doppelklick öffnen, Reiter Details und dort Sperrlisten-Verteilungspunkte. Ich hoffe, a) den dort angegeben Server gibt es noch b) keine Publizierung per LDAP u.ä. sondern ausschließlich per HTTP.
Kannst du mir bitte weiterhelfen?
Moin,
Gruß,
Dani
Das habe ich gemacht und da sehe ich, dass die "CDP Location 1&2" abgelaufen ist, ist das der Grund für "Sperrserver ist Offline" ?
Es gibt viele Ursachen... ob es daran liegt, muss man prüfen. Kannst du einmal SCreenshots posten? Die wichtigen Infos bitte schwärzen.Bzw. wie kann ich den Ablauf wieder rückgängig machen...
Das geht nicht und das ist auch nicht der Sinn davon. Da ist beides drin, einmal LDAP und HTTP
Ok. Kannst du den Pfad von HTTP in deinem Browser aufrufen?Gruß,
Dani
