dschmolke
Goto Top

Interne Windows CA für die Domäne

Moin,
da ich anhand anderer Beiträge mittlerweile alle Probleme in der Domäne gefixed habe, fehlt nur noch der Aufbau einer neuen Zertifikatsstelle mit Windows Server. Die „alte“ aktuelle ist nicht mehr wirklich funktionsfähig.

Nun die Frage, wie entferne ich die alte sicher? Passiert dann was?
Was für Zertifikate muss die neue bereitstellen?

Irgendwie per auto enrollment Kerberos für die DCs? Und weiter?

Habe das noch nie gemacht.
Kann ich was kaputt machen? So das nix mehr geht?


p.s. Die aktuelle stellt schon lange nix mehr aus

Content-ID: 669534

Url: https://administrator.de/contentid/669534

Printed on: December 5, 2024 at 17:12 o'clock

CH3COOH
CH3COOH Nov 16, 2024 at 13:31:47 (UTC)
Goto Top
Moin,
sind noch gültige Zertifikate der alten CA in Verwenden? Wenn ja, beinhalten Sie eine CRL? Diese in jedem Fall am Leben halten. Ansonsten werden die Zertifikate unter Umständen ungültig.

Neue CA, je nach Größe der Umgebung unterteilen in Root und Issuing! CRL für die neue würde ich auf einen Webserver planen, statt per SMB/LDAP.

Ein Template für Domänen Authentifizierung und Kerberos würde ich mixen/neu machen. Dabei die integrierten Templates von MS ablösen lassen.

Gruß
Dirmhirn
Dirmhirn Nov 17, 2024 at 07:54:27 (UTC)
Goto Top
Hi,

Soweit ich weiß wird immernoch ein veranstalteter Webservice mitinstalliert.
Google mal nach ESC8. Certsrv brauchst du nicht und auch die CRL solltest du gleich auf einem anderen webserver ablegen.

Bzw hier das gesamte Dokument, du kannst dir auch mit Templates gravierende Probleme machen, bzw. sind auch einige Anleitungen veraltet besonders mit SCEP/NDES.

https://specterops.io/wp-content/uploads/sites/3/2022/06/Certified_Pre-O ...

Sg Dirm
user217
user217 Nov 18, 2024 at 10:05:29 (UTC)
Goto Top
Hey,

hatte mal eine große Baustelle mit einer integrierten CA in einem defekte AD face-smile
Ich kann dir 2 Tipps geben:
1. Suche ganz genau mit ntdsutil/adexplorer nach rückständen bevor du eine neue (NICHT integr. DB anlegst)
2. Exportiere sowohl die alten cert als auch die DB. (Wg. defekt doppeltes Backup)


Hier ein powershell Backupscript:

certutil –backupdb I:\Backup\CA-DB
certutil -deleterow 02/01/2024 request
certutil -deleterow 02/01/2024 cert
certutil -databaselocations
net stop certsvc
C:\Windows\System32\esentutl /d "C:\Windows\System32\CertLog\firma-CA.edb”
net start certsvc
DSchmolke
DSchmolke Nov 23, 2024 at 21:43:36 (UTC)
Goto Top
Moin moin,
die alte CA habe ich jetzt „sauber“ entfernt. So weit so gut! Neue wollte ich eben installieren. Habe aber für mich ein Fragezeichen bei dem Punkt : „Administratorinteraktion bei jedem Zertifizierungsstellzugriff auf den privaten Schlüssel zulassen „ gefunden. Anhacken oder nicht? Was heißt das?
Dani
Dani Nov 24, 2024 at 10:53:59 (UTC)
Goto Top
Moin,
Habe aber für mich ein Fragezeichen bei dem Punkt : „Administratorinteraktion bei jedem Zertifizierungsstellzugriff auf den privaten Schlüssel zulassen „ gefunden. Anhacken oder nicht? Was heißt das?
wenn du den Haken nicht setzt, musst du bei einem neuen Zertifikat, bei der Erstellung/Aktualisierung einer CRL, (Neu)start des Dienstes der CA die Zugangsdaten eines Benutzerkontos eingeben, welcher Mitglied der GRuppe "Administrators" ist.


Gruß,
Dani
DSchmolke
DSchmolke Nov 24, 2024 at 11:06:59 (UTC)
Goto Top
Das bedeutet, wenn ich das Häkchen setzte ist es entspannter? Und ich muss mich nicht immer anmelden?
DSchmolke
DSchmolke Nov 24, 2024 at 16:14:34 (UTC)
Goto Top
Habe die CA jetzt aufgesetzt. Alle Server haben sich schon certs gezogen(so habe ich es eingestellt)
Clients müssten das morgen tun wenn die Firma wieder besucht wird. Bin gespannt. Sieht aber gut ausface-smile