Domänenmigration Zertifizierungsstelle
Hallo liebe Admins,
derzeit migriere ich unsere Domänencontroller (2x 2008R2) auf 2012R2. Die Migration als solche ist meiner Meinung nach zu 90% abgeschlossen aber leider wurde unsere CA auf einen Domänencontroller installiert (letzter zu migrierender Dienst). Für die Zukunft möchte ich diesen Zustand ändern und einen separaten Server zur Verfügung stellen, welcher mittlerweile auch fertig installiert ist. So langsam sollte die CA deshalb umziehen. Wichtig ist mir dabei, dass alle ausgestellten Zertifikate gültig bleiben (vor allem das Rootcer). So wie ich einige Vorgehensweisen verstanden habe ist die problemlos möglich, sofern die CA ihren Namen (nicht Servernamen) behält.
Angedachte Vorgehensweise:
1) CA sichern (über die mmc)
2) Regkeys sichern (Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\CertSvc\Configuration)
3) CA Rollendienst auf neuen Server installieren (vorhandener privater Schlüssel + Zertifikat im Assistenten wählen)
4) Regkey wieder einspielen
Quelle: http://technikblog.rachfahl.de/losungen/umzug-einer-pki-von-windows-ser ...
Meine Fragen:
1) Hat wer schon Erfahrung mit einer ähnlichen Migration gehabt?
2) Kann man dies im Tagesgeschäft abwickeln?
3) Gibt es Besonderheiten, die es zu beachten gibt?
Vielen Dank für jegliche Hinweise und Anregungen…
Gruß,
Norman
derzeit migriere ich unsere Domänencontroller (2x 2008R2) auf 2012R2. Die Migration als solche ist meiner Meinung nach zu 90% abgeschlossen aber leider wurde unsere CA auf einen Domänencontroller installiert (letzter zu migrierender Dienst). Für die Zukunft möchte ich diesen Zustand ändern und einen separaten Server zur Verfügung stellen, welcher mittlerweile auch fertig installiert ist. So langsam sollte die CA deshalb umziehen. Wichtig ist mir dabei, dass alle ausgestellten Zertifikate gültig bleiben (vor allem das Rootcer). So wie ich einige Vorgehensweisen verstanden habe ist die problemlos möglich, sofern die CA ihren Namen (nicht Servernamen) behält.
Angedachte Vorgehensweise:
1) CA sichern (über die mmc)
2) Regkeys sichern (Computer\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\CertSvc\Configuration)
3) CA Rollendienst auf neuen Server installieren (vorhandener privater Schlüssel + Zertifikat im Assistenten wählen)
4) Regkey wieder einspielen
Quelle: http://technikblog.rachfahl.de/losungen/umzug-einer-pki-von-windows-ser ...
Meine Fragen:
1) Hat wer schon Erfahrung mit einer ähnlichen Migration gehabt?
2) Kann man dies im Tagesgeschäft abwickeln?
3) Gibt es Besonderheiten, die es zu beachten gibt?
Vielen Dank für jegliche Hinweise und Anregungen…
Gruß,
Norman
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 289856
Url: https://administrator.de/forum/domaenenmigration-zertifizierungsstelle-289856.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
2 Kommentare
Neuester Kommentar
Moin Belloci,
geht exakt wie du beschrieben hast, auch im laufenden Betrieb, meines Wissens nach keine Besonderheiten zu beachten.
Haben bei einem unserer Kunden in den letzten Jahren die CA schon mehrfach so umgezogen und es gab nie Probleme. Und solange nicht exakt in dem Zeitraum in dem du sie umziehst jemand/ein Server ein Zertifikat beantragen oder erneuern will merkt das auch keiner.
geht exakt wie du beschrieben hast, auch im laufenden Betrieb, meines Wissens nach keine Besonderheiten zu beachten.
Haben bei einem unserer Kunden in den letzten Jahren die CA schon mehrfach so umgezogen und es gab nie Probleme. Und solange nicht exakt in dem Zeitraum in dem du sie umziehst jemand/ein Server ein Zertifikat beantragen oder erneuern will merkt das auch keiner.