Interne Windows CA für die Domäne
Moin,
da ich anhand anderer Beiträge mittlerweile alle Probleme in der Domäne gefixed habe, fehlt nur noch der Aufbau einer neuen Zertifikatsstelle mit Windows Server. Die „alte“ aktuelle ist nicht mehr wirklich funktionsfähig.
Nun die Frage, wie entferne ich die alte sicher? Passiert dann was?
Was für Zertifikate muss die neue bereitstellen?
Irgendwie per auto enrollment Kerberos für die DCs? Und weiter?
Habe das noch nie gemacht.
Kann ich was kaputt machen? So das nix mehr geht?
p.s. Die aktuelle stellt schon lange nix mehr aus
da ich anhand anderer Beiträge mittlerweile alle Probleme in der Domäne gefixed habe, fehlt nur noch der Aufbau einer neuen Zertifikatsstelle mit Windows Server. Die „alte“ aktuelle ist nicht mehr wirklich funktionsfähig.
Nun die Frage, wie entferne ich die alte sicher? Passiert dann was?
Was für Zertifikate muss die neue bereitstellen?
Irgendwie per auto enrollment Kerberos für die DCs? Und weiter?
Habe das noch nie gemacht.
Kann ich was kaputt machen? So das nix mehr geht?
p.s. Die aktuelle stellt schon lange nix mehr aus
Please also mark the comments that contributed to the solution of the article
Content-ID: 669534
Url: https://administrator.de/contentid/669534
Printed on: December 5, 2024 at 17:12 o'clock
8 Comments
Latest comment
Moin,
sind noch gültige Zertifikate der alten CA in Verwenden? Wenn ja, beinhalten Sie eine CRL? Diese in jedem Fall am Leben halten. Ansonsten werden die Zertifikate unter Umständen ungültig.
Neue CA, je nach Größe der Umgebung unterteilen in Root und Issuing! CRL für die neue würde ich auf einen Webserver planen, statt per SMB/LDAP.
Ein Template für Domänen Authentifizierung und Kerberos würde ich mixen/neu machen. Dabei die integrierten Templates von MS ablösen lassen.
Gruß
sind noch gültige Zertifikate der alten CA in Verwenden? Wenn ja, beinhalten Sie eine CRL? Diese in jedem Fall am Leben halten. Ansonsten werden die Zertifikate unter Umständen ungültig.
Neue CA, je nach Größe der Umgebung unterteilen in Root und Issuing! CRL für die neue würde ich auf einen Webserver planen, statt per SMB/LDAP.
Ein Template für Domänen Authentifizierung und Kerberos würde ich mixen/neu machen. Dabei die integrierten Templates von MS ablösen lassen.
Gruß
Hallo,
es gibt viele Anleitungen dazu....
learn.microsoft.com/en-us/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/decommission-enterprise-certification-authority-and-remove-objects
www.gradenegger.eu/de/entfernen-alter-zertifizierungsstellen-zertifikate-aus-der-konfiguration-einer-zertifizierungsstelle/
ist keine große Sache, wenn man es richtig angeht.
LG
es gibt viele Anleitungen dazu....
learn.microsoft.com/en-us/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/decommission-enterprise-certification-authority-and-remove-objects
www.gradenegger.eu/de/entfernen-alter-zertifizierungsstellen-zertifikate-aus-der-konfiguration-einer-zertifizierungsstelle/
ist keine große Sache, wenn man es richtig angeht.
LG
Hi,
Soweit ich weiß wird immernoch ein veranstalteter Webservice mitinstalliert.
Google mal nach ESC8. Certsrv brauchst du nicht und auch die CRL solltest du gleich auf einem anderen webserver ablegen.
Bzw hier das gesamte Dokument, du kannst dir auch mit Templates gravierende Probleme machen, bzw. sind auch einige Anleitungen veraltet besonders mit SCEP/NDES.
https://specterops.io/wp-content/uploads/sites/3/2022/06/Certified_Pre-O ...
Sg Dirm
Soweit ich weiß wird immernoch ein veranstalteter Webservice mitinstalliert.
Google mal nach ESC8. Certsrv brauchst du nicht und auch die CRL solltest du gleich auf einem anderen webserver ablegen.
Bzw hier das gesamte Dokument, du kannst dir auch mit Templates gravierende Probleme machen, bzw. sind auch einige Anleitungen veraltet besonders mit SCEP/NDES.
https://specterops.io/wp-content/uploads/sites/3/2022/06/Certified_Pre-O ...
Sg Dirm
Hey,
hatte mal eine große Baustelle mit einer integrierten CA in einem defekte AD
Ich kann dir 2 Tipps geben:
1. Suche ganz genau mit ntdsutil/adexplorer nach rückständen bevor du eine neue (NICHT integr. DB anlegst)
2. Exportiere sowohl die alten cert als auch die DB. (Wg. defekt doppeltes Backup)
Hier ein powershell Backupscript:
certutil –backupdb I:\Backup\CA-DB
certutil -deleterow 02/01/2024 request
certutil -deleterow 02/01/2024 cert
certutil -databaselocations
net stop certsvc
C:\Windows\System32\esentutl /d "C:\Windows\System32\CertLog\firma-CA.edb”
net start certsvc
hatte mal eine große Baustelle mit einer integrierten CA in einem defekte AD
Ich kann dir 2 Tipps geben:
1. Suche ganz genau mit ntdsutil/adexplorer nach rückständen bevor du eine neue (NICHT integr. DB anlegst)
2. Exportiere sowohl die alten cert als auch die DB. (Wg. defekt doppeltes Backup)
Hier ein powershell Backupscript:
certutil –backupdb I:\Backup\CA-DB
certutil -deleterow 02/01/2024 request
certutil -deleterow 02/01/2024 cert
certutil -databaselocations
net stop certsvc
C:\Windows\System32\esentutl /d "C:\Windows\System32\CertLog\firma-CA.edb”
net start certsvc
Moin,
Gruß,
Dani
Habe aber für mich ein Fragezeichen bei dem Punkt : „Administratorinteraktion bei jedem Zertifizierungsstellzugriff auf den privaten Schlüssel zulassen „ gefunden. Anhacken oder nicht? Was heißt das?
wenn du den Haken nicht setzt, musst du bei einem neuen Zertifikat, bei der Erstellung/Aktualisierung einer CRL, (Neu)start des Dienstes der CA die Zugangsdaten eines Benutzerkontos eingeben, welcher Mitglied der GRuppe "Administrators" ist.Gruß,
Dani