SBS 2011 Umstellung der CA auf SHA2

Mitglied: GASTK0NT0

GASTK0NT0 (Level 1) - Jetzt verbinden

15.11.2016 um 13:58 Uhr, 3572 Aufrufe, 12 Kommentare

Hallo beisammen,

Nach Benutzung der Suchmaschinen (hie und da) habe ich noch immer keine dokumentierte und funktionierende
Lösung für die "notwendige" Umstellung der lokalen CA auf einem SBS 2011 gefunden.

In diesem Topic geht es ja
um ein ähnliches Thema (SAN muss nicht unbedingt sein), dennoch scheint die griffige Lösung zu sein:

"Nimm ein externes Zertifikat und alles ist grün!"

Frage:
Hat sich dennoch jemand hier bisher an diese Umstellung an einem SBS 2011 begeben (speziell: Umstellung CSP-Provider auf KSP,
da ist der Punkt, wo Hasi Wasser lässt...), und das womöglich auch erfolgreich hinbekommen?

Grüssung in die Runde,

das GASTK0NT0


Mitglied: Vision2015
15.11.2016 um 14:25 Uhr
moin...
was genau möchtest du wissen ?
wie wird ein vertrauenswürdiges Zertifikat importiert?
möchtest du eine schrit für schrit anleitung, bis alles grün ist ?
oder bist du an bestimmter stelle an kleben, und weißt nicht weiter ?

Frank
Bitte warten ..
Mitglied: GASTK0NT0
15.11.2016 um 14:39 Uhr
Frank,

es geht darum, den Kryptographie-Anbieter der SBS CA zu wechseln, weil sonst keine Umstellung von SHA1 auf SHA2 möglich ist.

Ab Januar/Februar 2017 sperren Browser SHA1 Zertifikate, das ist Dir bekannt?

Wir haben das Ganze in einer Testumgebung probiert, es scheitert an der Umstellung von Microsoft Strong
Cryptographic Provider auf Microsoft Software Key Storage Provider.

Hier mal Backgroundinfo, wieso, weshalb warum:

Admins aufgepasst: SHA1-Zertifikate vor dem endgültigen Aus

migrate-your-ca-from-csp-to-ksp

Wird die Herausforderung dadurch verständlicher?

Und nein, ich benötige keine Klickanleitung, ich mache das Ganze zum Glück nur hauptberuflich... 8-)
Bitte warten ..
Mitglied: keine-ahnung
15.11.2016 um 14:47 Uhr
Moin,
SuFu kaputt? Schau mal hier ...

LG, Thomas
Bitte warten ..
Mitglied: GASTK0NT0
15.11.2016 um 14:55 Uhr
Thomas,

ich habe hier gesucht und auch diesen Thread gefunden, darum geht es nicht!

Möchtest Du mal testen, ob Du Deinen Praxis SBS 2011 umgestellt bekommst? Toi! Toi! Toi!

Erst genau zuhören, dann antworten, insbesondere eine wünschenswerte Eigenschaft für Mediziner...
Bitte warten ..
Mitglied: Dani
15.11.2016 um 15:34 Uhr
Moin,
Ab Januar/Februar 2017 sperren Browser SHA1 Zertifikate, das ist Dir bekannt?
jup, aber ich meine gelesen zu haben, dass CAs welche nicht im Brower integriert sind davon ausgenommen sind - vorest.


Gruß,
Dani
Bitte warten ..
Mitglied: GASTK0NT0
15.11.2016 um 15:41 Uhr
Moin Dani,

jubbs, so steht es im Heise (TM) Artikel, korrekt!

Aber was Du heute kannst besorgen und so...

Außerdem fange ich solche Dinge gern ab, bevor der zahlende Kunde zum Telefon greift
und fragt, ob ich verpennt habe...

BTT, selbst mit Gnadenfrist für lokale CAs (reine Goodwill Geschichte, wie so oft), wäre es
nicht verkehrt, hier weitere Erfahrungen zu akkumulieren - speziell zum SBS sieht es hier
im Netz mau aus, und M$ scheint tatsächlich kein Rollup in der Pipeline zu haben... :-\
Bitte warten ..
Mitglied: keine-ahnung
15.11.2016, aktualisiert um 16:09 Uhr
und M$ scheint tatsächlich kein Rollup in der Pipeline zu haben...
Es gab da mal das kb2949927 für W7 und W2008R2 ... das hat Bill aber wieder zurückgezogen, weil es wohl Stress gemacht hat. Ob es dafür überhaupt einen Ersatz gibt ??
Möchtest Du mal testen, ob Du Deinen Praxis SBS 2011 umgestellt bekommst? Toi! Toi! Toi!
Nö. Dafür gibt es ja Probanden ... . Mich persönlich wird das hoffentlich nicht weiter stören ... fraglich ist natürlich, wie sich das auf active sync auswirkt - nicht das die Apfeljünger irgendwann die Synchronisation auf den Eierphones sperren.

LG, Thomas
Bitte warten ..
Mitglied: GASTK0NT0
15.11.2016, aktualisiert um 16:42 Uhr
Zitat von keine-ahnung:
... Mich persönlich wird das hoffentlich nicht weiter stören ... fraglich ist natürlich, wie sich das auf active sync auswirkt - nicht das die
Apfeljünger irgendwann die Synchronisation auf den Eierphones sperren.

LG, Thomas

Genau den Fall hatten wir bei einem Device mit aktuellstem iOS - Einbindung erst wieder nach Einspielung des root-Zerts möglich... ohne Worte...
Bitte warten ..
Mitglied: keine-ahnung
15.11.2016 um 17:57 Uhr
Genau den Fall hatten wir bei einem Device mit aktuellstem iOS
Läuft bei mir ohne Probleme (drei devices mit iOS 10.1.1).

LG, Thomas
Bitte warten ..
Mitglied: GASTK0NT0
15.11.2016 um 19:11 Uhr
Probier das mal mit einem ge"wiped"-den Gerät oder einem frischen, neu einzurichtenden mit dem aktuellen iOS, ging bei uns nicht ohne Zertifikat, was man sich ja dann nicht via EAS selbst schicken kann.... mitgedacht, mitgelacht...
Bitte warten ..
Mitglied: keine-ahnung
15.11.2016 um 19:37 Uhr
Probier das mal mit einem ge"wiped"-den Gerät
Ich wippe mein Eierphone, ich wipe es nicht .
was man sich ja dann nicht via EAS selbst schicken kann
Dann schicke es Dir doch per mail ...

LG, Thomas
Bitte warten ..
Mitglied: altmetaller
18.11.2016 um 10:48 Uhr
Hallo,

...was witzlos ist, wenn die E-Mails nicht synchronisiert werden.

Ich habe den öffentlichen Teil des exportierten Stammzertifikates auf dem Webspace liegen und gebe auf dem iPhone im Safari den Link ein.

Dahinter steckt bei mir auch der Gedanke, dass ich eine schlüsselbasierte Zertifizierung / Authentifizierung "vom Gedanken her" als witzlos betrachte, wenn der Schlüssel über den gleichen Weg übertragen wird wie die abzusichernden Daten.

Deine Bank schickt Dir EC-Karte und PIN-Nummern auch mit zeitlichem Versatz in zwei Schreiben...

Nicht gut?

Gruß,
Jörg
Bitte warten ..
Heiß diskutierte Inhalte
TK-Netze & Geräte
Störung Fax2Mail bei NFON am 24.10.20? Kein Mailversand von NFON möglich?
gelöst StefanKittelFrageTK-Netze & Geräte26 Kommentare

Hallo, scheinbar gibt es eine Störung bei NFONs Fax2Mail am heutigen Tag 24.10.20. Man kann Faxe an schicken und ...

Router & Routing
VPN Performance durch Mikrotik erhöhen
JseidiFrageRouter & Routing17 Kommentare

Hallo zusammen, ich habe Stand heute zwei Standort die ich per Site-to-Site VPN über zwei Fritzboxen verbinde. Da hier ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Windows 10
RFID oder ähnlich Methode zur Sperrung W10pro bei Abwesenheit - Anmeldung nur über PW wieder ermöglichen
UweGriFrageWindows 1013 Kommentare

Hallo Admins, folgende Lösung wird gesucht: W10pro Anmeldung über Bitlocker Freischaltung und PW bei Anmeldung. Gesucht wird: RFID Chip ...

Windows Userverwaltung
Synology mit Azure Active Directory verbinden
roeggiFrageWindows Userverwaltung13 Kommentare

Ich suche eine Lösung mit der ich ein Synology NAS mit der Active Directory verbinden kann um die Benutzer ...

Ubuntu
Ubuntu 20.10 "Groovy Gorilla" mit GNOME 3.38 und Kernel 5.8 veröffentlicht
FrankInformationUbuntu11 Kommentare

Canonical hat Ubuntu 20.10 veröffentlicht. Die neue Version mit dem Codenamen "Groovy Gorilla" bekommt lediglich 9 Monaten Sicherheitsupdates, kritischen ...

Ähnliche Inhalte
Exchange Server

SBS 2011 Migration auf SBS 2011 - Zertifikatsprobleme

aschinnerlFrageExchange Server3 Kommentare

Hi zusammen, Ich habe von einem SBS 2011 (physisch) auf einen SBS 2011 virtuell migriert. Alles hat ohne Probleme ...

Windows Server

SBS 2011 - Domäne

gelöst MiStFrageWindows Server7 Kommentare

Hallo, ich habe hier einen SBS 2011. Bei dem ist mir aufgefallen, dass die Gesamtstrukturfunktionsebene auf "Windows Server 2003" ...

Exchange Server

SBS 2011 - Kalenderfreigabe

MiStFrageExchange Server10 Kommentare

Guten Morgen zusammen, wir nutzen einen SBS2011 und die Office-Version 2010 und seit kurzem ein paar 2016er. Wenn ich ...

Windows Server

Migration SBS 2011 auf SBS 2011 mit gleicher Hardware

IT-BaerchenFrageWindows Server6 Kommentare

Liebes Forum, hoffe ihr könnt mir mit meinen Problem helfen oder meinen Gedanken auf die Sprünge helfen. Vor folgenden ...

Windows Server

SBS 2011 Mail abruf

gelöst AndreeSFrageWindows Server4 Kommentare

Hallo ich habe einen SBS 2011 kann ich ihn so einstellen das die Mails beim Hoster liegen bleiben?

Windows Server

Viele Benutzeranmeldung SBS 2011

Marcel93FrageWindows Server6 Kommentare

Guten Morgen, wir haben ein kleines Problem. Auf unserem SBS 2011 gibt es zur Zeit komische Anmeldeereignisse, welche auch ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT