fr4nki
Goto Top

Probleme nach Windows PKI Umzug

Hallo Zusammen,

ich habe eine Frage zur Windows Zertifizierungsstelle.

Ich musste diese von einem Server 2012 R2 auf einen Server 2022 umziehen.
Dabei ist aufgefallen, dass der alte private Key nur 512 groß war und damit nicht 1:1 übernommen werden konnte, es konnten keine Zertifikate damit aufgestellt werden, es kam in der Liste "Ausgestellte Zertifikate" immer die Meldung, dass der Key zu kurz ist.

Also habe ich eine neue CA mit neuem private Key erstellt.

Nun ist mir jedoch aufgefallen, dass ich keine Zertifikate abrufen kann.
Wenn ich von einem Computer der Domäne versuche z.B. ein Computerzertfikat zu beantragen, dann endet der Assistent mit der Frage "Wie möchten Sie die Offlineanforderung speichern?".

Ich verstehe jedoch nicht warum das so ist und hoffe auf ein paar hilfreiche Tips.

offline

Content-ID: 669223

Url: https://administrator.de/forum/probleme-nach-windows-pki-umzug-669223.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

Dani
Dani 03.11.2024 um 21:26:51 Uhr
Goto Top
Moin,
Dabei ist aufgefallen, dass der alte private Key nur 512 groß war und damit nicht 1:1 übernommen werden konnte,
Sicher, dass du von der Schlüssellänge sprichst und nicht vom HASH512? Weil auch zu Zeiten von Server 2012 war bereits 2048 Bit quasi Standard.

Ich verstehe jedoch nicht warum das so ist und hoffe auf ein paar hilfreiche Tips.
Ist die neue PKI entsprechend ins "AD integriert" konfiguriert worden? Hast du die alte PKI vorher sauber entfernt?

Auf die Schnelle hat eine Suchmaschine meiner Wahl folgende Links ausgespuckt:
https://blog.daniel.wydler.eu/2016/08/23/installation-einer-zweistufigen ...
https://blog.daniel.wydler.eu/2016/08/25/installation-einer-zweistufigen ...
https://www.gradenegger.eu/de/

Lesen, verstehen, planen und umsetzen.

Abgesehen davon ist PKI ein doch recht komplexes Thema. Wo ein kleiner Fehler große Auswirkung hat. Bestes Beispiel ist OCSP und CRL. Letzteres sollte ausschließlich auf einem einfachen Webserver mit neutralen FQDN veröffentlicht werden. So dass bei nächsten Umzug das kein Problem darstellt.


Gruß,
Dani
canlot
canlot 04.11.2024 um 10:07:19 Uhr
Goto Top
Ich gebe Dani recht, PKI ist ein ziemlich komplexes Thema, da muss man auf vieles achten. Ich sehe noch ganz viele offene Fragen die beantwortet werden müssen.

Wie ist eure CA Struktur aufgebaut, mehrstufig oder habt ihr nur eine Windows CA die in der Domäne hängt?

Wenn ich mir deine Frage ansehe, beschleicht sich mir ein Verdacht dass du eine offline CA erstellt hast die nicht in der Domäne eingebunden ist, deswegen kannst du keine Zertifikate registrieren.

Was wird dir hier angezeigt?
2024-11-04 10_04_50-window
Dirmhirn
Dirmhirn 04.11.2024 um 22:43:05 Uhr
Goto Top
https://www.pkisolutions.com/tools/pspki/

Das PS Modul hilft auch um mal schnell paar Dinge abzufragen. Zb ob eine CA gefunden wird.

Sg Dirm
150631
150631 06.11.2024 um 05:19:12 Uhr
Goto Top
Was heißt umziehen?
DNS ist definitiv in Ordnung?

Error IDs sind geheim?