8
Interne Windows CA für die Domäne
Moin,
da ich anhand anderer Beiträge mittlerweile alle Probleme in der Domäne gefixed habe, fehlt nur noch der Aufbau einer neuen Zertifikatsstelle mit Windows Server. Die „alte“ aktuelle ist nicht mehr wirklich funktionsfähig.
Nun die Frage, wie entferne ich die alte sicher? Passiert dann was?
Was für Zertifikate muss die neue bereitstellen?
Irgendwie per auto enrollment Kerberos für die DCs? Und weiter?
Habe das noch nie gemacht.
Kann ich was kaputt machen? So das nix mehr geht?
p.s. Die aktuelle stellt schon lange nix mehr aus
da ich anhand anderer Beiträge mittlerweile alle Probleme in der Domäne gefixed habe, fehlt nur noch der Aufbau einer neuen Zertifikatsstelle mit Windows Server. Die „alte“ aktuelle ist nicht mehr wirklich funktionsfähig.
Nun die Frage, wie entferne ich die alte sicher? Passiert dann was?
Was für Zertifikate muss die neue bereitstellen?
Irgendwie per auto enrollment Kerberos für die DCs? Und weiter?
Habe das noch nie gemacht.
Kann ich was kaputt machen? So das nix mehr geht?
p.s. Die aktuelle stellt schon lange nix mehr aus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669534
Url: https://administrator.de/forum/interne-windows-ca-fuer-die-domaene-669534.html
Ausgedruckt am: 21.12.2024 um 17:12 Uhr
8 Kommentare
Neuester Kommentar
Moin,
sind noch gültige Zertifikate der alten CA in Verwenden? Wenn ja, beinhalten Sie eine CRL? Diese in jedem Fall am Leben halten. Ansonsten werden die Zertifikate unter Umständen ungültig.
Neue CA, je nach Größe der Umgebung unterteilen in Root und Issuing! CRL für die neue würde ich auf einen Webserver planen, statt per SMB/LDAP.
Ein Template für Domänen Authentifizierung und Kerberos würde ich mixen/neu machen. Dabei die integrierten Templates von MS ablösen lassen.
Gruß
sind noch gültige Zertifikate der alten CA in Verwenden? Wenn ja, beinhalten Sie eine CRL? Diese in jedem Fall am Leben halten. Ansonsten werden die Zertifikate unter Umständen ungültig.
Neue CA, je nach Größe der Umgebung unterteilen in Root und Issuing! CRL für die neue würde ich auf einen Webserver planen, statt per SMB/LDAP.
Ein Template für Domänen Authentifizierung und Kerberos würde ich mixen/neu machen. Dabei die integrierten Templates von MS ablösen lassen.
Gruß
Hallo,
es gibt viele Anleitungen dazu....
learn.microsoft.com/en-us/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/decommission-enterprise-certification-authority-and-remove-objects
www.gradenegger.eu/de/entfernen-alter-zertifizierungsstellen-zertifikate-aus-der-konfiguration-einer-zertifizierungsstelle/
ist keine große Sache, wenn man es richtig angeht.
LG
es gibt viele Anleitungen dazu....
learn.microsoft.com/en-us/troubleshoot/windows-server/certificates-and-public-key-infrastructure-pki/decommission-enterprise-certification-authority-and-remove-objects
www.gradenegger.eu/de/entfernen-alter-zertifizierungsstellen-zertifikate-aus-der-konfiguration-einer-zertifizierungsstelle/
ist keine große Sache, wenn man es richtig angeht.
LG
Hi,
Soweit ich weiß wird immernoch ein veranstalteter Webservice mitinstalliert.
Google mal nach ESC8. Certsrv brauchst du nicht und auch die CRL solltest du gleich auf einem anderen webserver ablegen.
Bzw hier das gesamte Dokument, du kannst dir auch mit Templates gravierende Probleme machen, bzw. sind auch einige Anleitungen veraltet besonders mit SCEP/NDES.
https://specterops.io/wp-content/uploads/sites/3/2022/06/Certified_Pre-O ...
Sg Dirm
Soweit ich weiß wird immernoch ein veranstalteter Webservice mitinstalliert.
Google mal nach ESC8. Certsrv brauchst du nicht und auch die CRL solltest du gleich auf einem anderen webserver ablegen.
Bzw hier das gesamte Dokument, du kannst dir auch mit Templates gravierende Probleme machen, bzw. sind auch einige Anleitungen veraltet besonders mit SCEP/NDES.
https://specterops.io/wp-content/uploads/sites/3/2022/06/Certified_Pre-O ...
Sg Dirm
Hey,
hatte mal eine große Baustelle mit einer integrierten CA in einem defekte AD
Ich kann dir 2 Tipps geben:
1. Suche ganz genau mit ntdsutil/adexplorer nach rückständen bevor du eine neue (NICHT integr. DB anlegst)
2. Exportiere sowohl die alten cert als auch die DB. (Wg. defekt doppeltes Backup)
Hier ein powershell Backupscript:
certutil –backupdb I:\Backup\CA-DB
certutil -deleterow 02/01/2024 request
certutil -deleterow 02/01/2024 cert
certutil -databaselocations
net stop certsvc
C:\Windows\System32\esentutl /d "C:\Windows\System32\CertLog\firma-CA.edb”
net start certsvc
hatte mal eine große Baustelle mit einer integrierten CA in einem defekte AD
Ich kann dir 2 Tipps geben:
1. Suche ganz genau mit ntdsutil/adexplorer nach rückständen bevor du eine neue (NICHT integr. DB anlegst)
2. Exportiere sowohl die alten cert als auch die DB. (Wg. defekt doppeltes Backup)
Hier ein powershell Backupscript:
certutil –backupdb I:\Backup\CA-DB
certutil -deleterow 02/01/2024 request
certutil -deleterow 02/01/2024 cert
certutil -databaselocations
net stop certsvc
C:\Windows\System32\esentutl /d "C:\Windows\System32\CertLog\firma-CA.edb”
net start certsvc
Moin moin,
die alte CA habe ich jetzt „sauber“ entfernt. So weit so gut! Neue wollte ich eben installieren. Habe aber für mich ein Fragezeichen bei dem Punkt : „Administratorinteraktion bei jedem Zertifizierungsstellzugriff auf den privaten Schlüssel zulassen „ gefunden. Anhacken oder nicht? Was heißt das?
die alte CA habe ich jetzt „sauber“ entfernt. So weit so gut! Neue wollte ich eben installieren. Habe aber für mich ein Fragezeichen bei dem Punkt : „Administratorinteraktion bei jedem Zertifizierungsstellzugriff auf den privaten Schlüssel zulassen „ gefunden. Anhacken oder nicht? Was heißt das?
Moin,
Gruß,
Dani
Habe aber für mich ein Fragezeichen bei dem Punkt : „Administratorinteraktion bei jedem Zertifizierungsstellzugriff auf den privaten Schlüssel zulassen „ gefunden. Anhacken oder nicht? Was heißt das?
wenn du den Haken nicht setzt, musst du bei einem neuen Zertifikat, bei der Erstellung/Aktualisierung einer CRL, (Neu)start des Dienstes der CA die Zugangsdaten eines Benutzerkontos eingeben, welcher Mitglied der GRuppe "Administrators" ist.Gruß,
Dani
Das bedeutet, wenn ich das Häkchen setzte ist es entspannter? Und ich muss mich nicht immer anmelden?
Habe die CA jetzt aufgesetzt. Alle Server haben sich schon certs gezogen(so habe ich es eingestellt)
Clients müssten das morgen tun wenn die Firma wieder besucht wird. Bin gespannt. Sieht aber gut aus
Clients müssten das morgen tun wenn die Firma wieder besucht wird. Bin gespannt. Sieht aber gut aus
