Probleme nach Windows PKI Umzug
Hallo Zusammen,
ich habe eine Frage zur Windows Zertifizierungsstelle.
Ich musste diese von einem Server 2012 R2 auf einen Server 2022 umziehen.
Dabei ist aufgefallen, dass der alte private Key nur 512 groß war und damit nicht 1:1 übernommen werden konnte, es konnten keine Zertifikate damit aufgestellt werden, es kam in der Liste "Ausgestellte Zertifikate" immer die Meldung, dass der Key zu kurz ist.
Also habe ich eine neue CA mit neuem private Key erstellt.
Nun ist mir jedoch aufgefallen, dass ich keine Zertifikate abrufen kann.
Wenn ich von einem Computer der Domäne versuche z.B. ein Computerzertfikat zu beantragen, dann endet der Assistent mit der Frage "Wie möchten Sie die Offlineanforderung speichern?".
Ich verstehe jedoch nicht warum das so ist und hoffe auf ein paar hilfreiche Tips.
ich habe eine Frage zur Windows Zertifizierungsstelle.
Ich musste diese von einem Server 2012 R2 auf einen Server 2022 umziehen.
Dabei ist aufgefallen, dass der alte private Key nur 512 groß war und damit nicht 1:1 übernommen werden konnte, es konnten keine Zertifikate damit aufgestellt werden, es kam in der Liste "Ausgestellte Zertifikate" immer die Meldung, dass der Key zu kurz ist.
Also habe ich eine neue CA mit neuem private Key erstellt.
Nun ist mir jedoch aufgefallen, dass ich keine Zertifikate abrufen kann.
Wenn ich von einem Computer der Domäne versuche z.B. ein Computerzertfikat zu beantragen, dann endet der Assistent mit der Frage "Wie möchten Sie die Offlineanforderung speichern?".
Ich verstehe jedoch nicht warum das so ist und hoffe auf ein paar hilfreiche Tips.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669223
Url: https://administrator.de/forum/probleme-nach-windows-pki-umzug-669223.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
4 Kommentare
Neuester Kommentar
Moin,
Auf die Schnelle hat eine Suchmaschine meiner Wahl folgende Links ausgespuckt:
https://blog.daniel.wydler.eu/2016/08/23/installation-einer-zweistufigen ...
https://blog.daniel.wydler.eu/2016/08/25/installation-einer-zweistufigen ...
https://www.gradenegger.eu/de/
Lesen, verstehen, planen und umsetzen.
Abgesehen davon ist PKI ein doch recht komplexes Thema. Wo ein kleiner Fehler große Auswirkung hat. Bestes Beispiel ist OCSP und CRL. Letzteres sollte ausschließlich auf einem einfachen Webserver mit neutralen FQDN veröffentlicht werden. So dass bei nächsten Umzug das kein Problem darstellt.
Gruß,
Dani
Dabei ist aufgefallen, dass der alte private Key nur 512 groß war und damit nicht 1:1 übernommen werden konnte,
Sicher, dass du von der Schlüssellänge sprichst und nicht vom HASH512? Weil auch zu Zeiten von Server 2012 war bereits 2048 Bit quasi Standard.Ich verstehe jedoch nicht warum das so ist und hoffe auf ein paar hilfreiche Tips.
Ist die neue PKI entsprechend ins "AD integriert" konfiguriert worden? Hast du die alte PKI vorher sauber entfernt?Auf die Schnelle hat eine Suchmaschine meiner Wahl folgende Links ausgespuckt:
https://blog.daniel.wydler.eu/2016/08/23/installation-einer-zweistufigen ...
https://blog.daniel.wydler.eu/2016/08/25/installation-einer-zweistufigen ...
https://www.gradenegger.eu/de/
Lesen, verstehen, planen und umsetzen.
Abgesehen davon ist PKI ein doch recht komplexes Thema. Wo ein kleiner Fehler große Auswirkung hat. Bestes Beispiel ist OCSP und CRL. Letzteres sollte ausschließlich auf einem einfachen Webserver mit neutralen FQDN veröffentlicht werden. So dass bei nächsten Umzug das kein Problem darstellt.
Gruß,
Dani
Ich gebe Dani recht, PKI ist ein ziemlich komplexes Thema, da muss man auf vieles achten. Ich sehe noch ganz viele offene Fragen die beantwortet werden müssen.
Wie ist eure CA Struktur aufgebaut, mehrstufig oder habt ihr nur eine Windows CA die in der Domäne hängt?
Wenn ich mir deine Frage ansehe, beschleicht sich mir ein Verdacht dass du eine offline CA erstellt hast die nicht in der Domäne eingebunden ist, deswegen kannst du keine Zertifikate registrieren.
Was wird dir hier angezeigt?
Wie ist eure CA Struktur aufgebaut, mehrstufig oder habt ihr nur eine Windows CA die in der Domäne hängt?
Wenn ich mir deine Frage ansehe, beschleicht sich mir ein Verdacht dass du eine offline CA erstellt hast die nicht in der Domäne eingebunden ist, deswegen kannst du keine Zertifikate registrieren.
Was wird dir hier angezeigt?
https://www.pkisolutions.com/tools/pspki/
Das PS Modul hilft auch um mal schnell paar Dinge abzufragen. Zb ob eine CA gefunden wird.
Sg Dirm
Das PS Modul hilft auch um mal schnell paar Dinge abzufragen. Zb ob eine CA gefunden wird.
Sg Dirm
Was heißt umziehen?
DNS ist definitiv in Ordnung?
Error IDs sind geheim?
DNS ist definitiv in Ordnung?
Error IDs sind geheim?