Migration Zertifikatsserver
Hallo,
wir haben einen virtualisierten Windows Server 2008 R2 Domänencontroller mit installierter Root-CA. Dieser Server soll nun durch eine Neuinstallation auf Windows Server 2016 aktualisiert werden, dabei wäre es wünschenswert, wenn der Zertifiaktsserver auf einen separaten Server umziehen könnte.
Soweit ich richtig informiert bin, darf sich der DNS-Name des Zertifikatsservers nicht ändern, ist das noch so richtig? Oder bezieht sich das nur auf den Namen der CA? Muss der Zertifikatssserver auch nach der Migration unbedingt auf einem Domänencontroller laufebn, oder kann er auf einen Memberserver migriert werden?
Vielen Dank für eure Hinweise.
wir haben einen virtualisierten Windows Server 2008 R2 Domänencontroller mit installierter Root-CA. Dieser Server soll nun durch eine Neuinstallation auf Windows Server 2016 aktualisiert werden, dabei wäre es wünschenswert, wenn der Zertifiaktsserver auf einen separaten Server umziehen könnte.
Soweit ich richtig informiert bin, darf sich der DNS-Name des Zertifikatsservers nicht ändern, ist das noch so richtig? Oder bezieht sich das nur auf den Namen der CA? Muss der Zertifikatssserver auch nach der Migration unbedingt auf einem Domänencontroller laufebn, oder kann er auf einen Memberserver migriert werden?
Vielen Dank für eure Hinweise.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372075
Url: https://administrator.de/forum/migration-zertifikatsserver-372075.html
Ausgedruckt am: 05.04.2025 um 02:04 Uhr
10 Kommentare
Neuester Kommentar
Moin,
würde Dir auch dringend raten, den Server separat zu installieren und NICHT auf nem DC!
Eine schicke Anleitung dazu gibt es hier:
http://asichel.de/2017/01/02/zertifizierungsstelle-ca-auf-server-2016-u ...
Gruß
würde Dir auch dringend raten, den Server separat zu installieren und NICHT auf nem DC!
Eine schicke Anleitung dazu gibt es hier:
http://asichel.de/2017/01/02/zertifizierungsstelle-ca-auf-server-2016-u ...
Gruß
Moin,
Gruß,
Dani
Soweit ich richtig informiert bin, darf sich der DNS-Name des Zertifikatsservers nicht ändern, ist das noch so richtig?
der DNS Name des Servers darf sich durch aus ändern, wenn die Zertifizierungsstelle entsprechend damals konfiguriert wurde (Veröffentlichung CRL, Veröffentlichung Zertifikate, etc...).würde Dir auch dringend raten, den Server separat zu installieren und NICHT auf nem DC!
Naja, es heißt nach wie vor in Schulungen und Ausbildung - ein DC ist ein DC und nichts anderes. Zu dem geht es auch ein bisschen um Security. Potenziell ist ein Webserver bzw. Applikation ein Einfallstor. In Worst Case ist eben ein Angreifer direkt auf dem Domain Controller. Was natürlich suboptimal ist.In beiden Fällen wäre die Beibehaltung des alten Namens machbar, wenn diese CA jedoch auf einem DC laufen muss, dann wird der Prozess etwas komplizierter.
Ich würde die Chance ergreifen und die PKI frisch aufsetzen - unter den aktuellen Gesichtspunkten (separate VM, neutraler DNS-Name, keine Standardvorlagen abändern sondern kopieren und anschließend anpassen, etc...). Da könnt ich problemlos noch weiter ausführen...Gruß,
Dani
Hi,
steht alles bei Mutti im Kochbuch:
Active Directory Certificate Services Migration Guide for Windows Server 2012 R2
E.
steht alles bei Mutti im Kochbuch:
Active Directory Certificate Services Migration Guide for Windows Server 2012 R2
Applies To: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
E.
@lcer00
Nein, darfst Du nicht. Ich will hier einfach nur irgendwas behaupten und hoffe, dass mir niemand das Gegenteil beweisen kann.
Und im Ernst:
- Da der Name des Servers nicht geändert werden sollte, kommt es u.U. zu Irritationen. Aus nahe liegenden Gründen hat der Server ja meist einen sprechenden Namen, z.B. DC01 oder Cert-CA. Der DC ist irgendwann nicht mehr im Dienst, wabert dann aber immer noch als DC01 umher. Oder der DC heißt Cert-CA, auf den ersten Blick ist also nicht erkennbar, dass es sich um einen DC handelt.
- Es gibt immer wieder spaßige Momente wie diesen:
https://www.fachinformatiker.de/topic/151917-fehler-bei-der-installation ...
Ich hatte sowas früher selbst mal, Du willst den DC nicht mit Problemen belasten, die eigentlich gar nicht seine Probleme sind.
- Nachtrag zum vorigen Punkt: Ein DC ist ein DC ist ein DC
- Sicherheitsaspekte. Warum sollte ich auf dem DC einen weiteren möglichen Angriffspunkt bereitstellen?
- Wenn Du nach den Microsoft Best Practices gehst, wird eh eine Offline-CA installiert, die KEIN Mitglied der Domäne ist. Dementsprechend erledigt sich auch die Frage nach der Installation auf einem DC:
https://gallery.technet.microsoft.com/Active-Directory-7a04769f
Gruß
darf ich mal nachhaken?
Nein, darfst Du nicht. Ich will hier einfach nur irgendwas behaupten und hoffe, dass mir niemand das Gegenteil beweisen kann.
Und im Ernst:
- Da der Name des Servers nicht geändert werden sollte, kommt es u.U. zu Irritationen. Aus nahe liegenden Gründen hat der Server ja meist einen sprechenden Namen, z.B. DC01 oder Cert-CA. Der DC ist irgendwann nicht mehr im Dienst, wabert dann aber immer noch als DC01 umher. Oder der DC heißt Cert-CA, auf den ersten Blick ist also nicht erkennbar, dass es sich um einen DC handelt.
- Es gibt immer wieder spaßige Momente wie diesen:
https://www.fachinformatiker.de/topic/151917-fehler-bei-der-installation ...
Ich hatte sowas früher selbst mal, Du willst den DC nicht mit Problemen belasten, die eigentlich gar nicht seine Probleme sind.
- Nachtrag zum vorigen Punkt: Ein DC ist ein DC ist ein DC
- Sicherheitsaspekte. Warum sollte ich auf dem DC einen weiteren möglichen Angriffspunkt bereitstellen?
- Wenn Du nach den Microsoft Best Practices gehst, wird eh eine Offline-CA installiert, die KEIN Mitglied der Domäne ist. Dementsprechend erledigt sich auch die Frage nach der Installation auf einem DC:
https://gallery.technet.microsoft.com/Active-Directory-7a04769f
Gruß
Zitat von @JoeDevlin:
Kann die CA unter Beibehaltung des Hostnamens auf von einem DC auf einen Memberserver migriert werden?
Ja, das sollte funktionieren.Kann die CA unter Beibehaltung des Hostnamens auf von einem DC auf einen Memberserver migriert werden?
Alternativ käme mir noch die Idee, ob wir den neuen Hostname der CA ändern können und mit einem DNS-Alias die CRL erreichbar lassen. Wäre das machbar?
Hast Du keine Möglichkeit, Dir eine kleine VM-Umgebung aufzubauen und das durchzuspielen?