SBS2011 CA umziehen, oder: Wozu brauche ich überhaupt eine interne CA?

ipzipzap
Goto Top
Hallo,

nachdem ich letzte Woche zuerst Exchange von einem SBS2011 zu Exchange 2016 auf einer eigenen VM wegmigriert habe, habe ich mich diese Woche an den Rest gemacht nach dieser Anleitung hier:

https://windowsserveressentials.com/2017/03/28/migrate-sbs-2011-standard ...

Dort ist auch die Migration der im SBS eingebauten CA beschrieben, was ich auch schon so durchgeführt habe. Leider kamen erst danach die Zweifel und Fragen, ob das so gut ist.

Bisher hatte ich nie was mit CAs zu tun, aber nun, da ich mich mehr damit beschäftige, kommen da so Fragen, wozu man die hier überhaupt (noch) braucht?

Alle in der Zertifizierungsstelle gespeicherten Zertifikate sind entweder abgelaufen oder stehen unter "Fehlgeschlagene Anforderungen", ergo wurden garnicht erst richtig erstellt. Die sind auch ausnahmslos alle für den Computeraccount DOMÄNE\SBS2011$, der mehrmals täglich versucht, sich ein Zertifikat zu erstellen. Die ausgestellten (und abgelaufenen) Zertifikate beziehen sich auch nur auf den Computeraccount, "Sites" oder Exchange.

Eine Webseite wurde nie auf dem SBS gehostet, Sharepoint wurde nicht genutzt und der Exchange (alt sowie neu) hat öffentliche, bezahlte Zertifikate. Radius oder 802.1x-Zertifikate werden auch nicht benutzt.

Ich würde ja sagen, das die CA komplett in die Tonne kann, wenn unter "ausgestellte Zertifikate" nicht noch sowas stehen würde wie DOMÄNE\SBS2011 mit der Zertifikatsvorlage "Domänencontroller (DomainController).

AFAIK arbeitet das AD doch überhaupt nicht mit Zertifikaten, oder habe ich hier was übersehen? Wozu ist hier dieses Domänencontroller-Zertifikat? Und kann ich die CA gefahrlos einmotten?


Danke im Voraus,

ipzipzap

Content-Key: 380753

Url: https://administrator.de/contentid/380753

Ausgedruckt am: 16.05.2022 um 19:05 Uhr

Mitglied: lcer00
lcer00 19.07.2018 um 21:55:03 Uhr
Goto Top
Hallo,

Gibt es in Deinem Szenario noch andere DCs?

Grüße

lcer
Mitglied: Spirit-of-Eli
Spirit-of-Eli 19.07.2018 um 22:19:28 Uhr
Goto Top
Moin,

Intern verbinden sich die Clients also unverschlüsselt mit dem Exchange?

Dann brauch ja nur wer kurz Wireshark anschmeißen und kann entspannt die Mails von deinem Chef mitlesen.
Für dich wohl kontraproduktiv solang du nicht selbst der Chef bist. Andere können dort bestimmt einen Nutzen daraus ziehen.

Wie groß ist denn euere Umgebung das du solche Themen ohne große Erfahrung anscheinend am offenen Herzen durchführen kannst?

Das sollte ein Denkanstoß über den Sinn einer Internen CA geben und den Nutzen erklären.
Es sei denn es ist genug Geld in der Portokasse und hier können auch flockig gekaufte Zertifikate genutzt werden.

Gruß
Spirit
Mitglied: ipzipzap
ipzipzap 19.07.2018 aktualisiert um 23:08:31 Uhr
Goto Top
Zitat von @lcer00:
Gibt es in Deinem Szenario noch andere DCs?

Vorher nicht, da war der SBS der einzige DC. Jetzt während der Migration natürlich ja und es werden hinterher auch zwei DCs im Netz bleiben.



Zitat von @Spirit-of-Eli:
Intern verbinden sich die Clients also unverschlüsselt mit dem Exchange?

Wo habe ich das geschrieben? Der Exchange hat wie gesagt öffentliche Zertifikate, da er auch von außerhalb erreichbar ist. Um den geht es hier ja aber nicht.


Dann brauch ja nur wer kurz Wireshark anschmeißen und kann entspannt die Mails von deinem Chef mitlesen.
Für dich wohl kontraproduktiv solang du nicht selbst der Chef bist. Andere können dort bestimmt einen Nutzen daraus ziehen.

Oh, schon Zeit für Polemik? Ist doch erst Donnerstag.

Das sollte ein Denkanstoß über den Sinn einer Internen CA geben und den Nutzen erklären.

Den Sinn und Nutzen sehe ich hier nicht, darum frage ich ja.

Es sei denn es ist genug Geld in der Portokasse und hier können auch flockig gekaufte Zertifikate genutzt werden.

Ein Wildcard-Zertifikat kostet nur noch knapp 10€ im Monat, da reicht auch wenig Geld in einer kleinen Portokasse. Außerdem sind gekaufte Zertifikate notwendig, wenn man Dienste öffentlich/extern betreiben möchte, falls Du das nicht weißt. Sonst bekommt man nämlich Zertifikats-Fehler im Browser ;-) face-wink

Schön, wie Du meine Fragen umschiffst und nichts Produktives beiträgst. Schlechten Tag gehabt?

Dankeschön
Mitglied: altmetaller
altmetaller 19.07.2018 um 23:18:50 Uhr
Goto Top
Hallo,

sagen wir mal so: Ich habe auf diversen SBS-Servern die CA im laufenden Betrieb komplett deinstalliert und alle Zertifikate verworfen.

Anschließend habe ich die neu installiert (inklusive Zertifizierungsstellen-Webregistrierung) und alle Zertifikate manuell neu gebaut und in die jeweiligen Dienste (IIS, Exchange usw.) eingebaut.

Das funktioniert inkl. automatischer Verlängerung Bestens, die Server stehen seit 2 Jahren "komplett auf grün" und das sogar noch dann, wenn der Assistent zur Behebung von Netzwerkproblemen durchgelaufen ist^^

Mit anderen Worten: Was spricht dagegen, für die Domäne ein neues Zertifikat über die neue CA zu etablieren?

Gruß,
Jörg

P.S.: "Von extern" hänge ich immer einen Apache2 als reversen Proxy davor, der alle externen URLs per Let's encrypt durchzertifiziert.
Mitglied: ipzipzap
ipzipzap 19.07.2018 aktualisiert um 23:50:47 Uhr
Goto Top
Hallo Jörg,

Zitat von @altmetaller:
sagen wir mal so: Ich habe auf diversen SBS-Servern die CA im laufenden Betrieb komplett deinstalliert und alle Zertifikate verworfen.

Gut, also ist es möglich, die CA loszuwerden. Kannst Du mir sagen, ob ich was am SBS vergessen habe, was evtl. noch Zertifikate nutzen könnte? Laut der Liste der ausgestellten Zertikate in der Zertifizierungsstelle sollte da nichts mehr sein.
Dinge wie Radius, Enterprise WPA, VPN, IPsec, EFS, SmartCard-Anmeldung, Sharepoint und IIS wurden am SBS nicht genutzt. Nach meinen Infos hatte nur der Exchange vor Jahren anfangs mal selbstausgestellte Zertifikate, aber die wurden ja wie schon erwähnt durch offizielle ersetzt.

> Anschließend habe ich die neu installiert (inklusive Zertifizierungsstellen-Webregistrierung) und alle Zertifikate manuell neu gebaut und in die jeweiligen Dienste (IIS, Exchange usw.) eingebaut.

IIS und Exchange fallen ja wie gesagt raus, was ist das usw.? ;-) face-wink

Mit anderen Worten: Was spricht dagegen, für die Domäne ein neues Zertifikat über die neue CA zu etablieren?

Mit dem Gedanken habe ich auch gespielt, war mir aber nicht sicher, ob ich nicht doch was am SBS übersehen haben könnte. Die AD braucht keine Zertifikate und die Clients auch nicht. (EDIT: Ja, ich weiß, das man die AD per LDAPS mit SSL-Zertikaten betreiben kann, aber das ist hier AFAIK nicht der Fall)

P.S.: "Von extern" hänge ich immer einen Apache2 als reversen Proxy davor, der alle externen URLs per Let's encrypt durchzertifiziert.

Von extern hängt da eine Sophos UTM davor, die kann leider nativ noch kein Let's Encrypt. Soll aber in der Entwicklung sein, also hoffentlich bald.
Mitglied: lcer00
lcer00 19.07.2018 um 23:57:11 Uhr
Goto Top
Hallo,

Wenn du mehrere DCs hast, musst Du überprüfen, ob diese mit oder ohne Zertifikate kommunizieren.

https://technet.microsoft.com/de-de/library/dd443752.aspx

Prüfe die Sicherheitsoptionen der GPOs, ob irgendwo Zertifikate gefördert werden.

Grüße

lcer
Mitglied: altmetaller
altmetaller 20.07.2018 um 00:08:32 Uhr
Goto Top
Hallo,

ohne Kristallkugel kann ich nicht sagen, ob und wofür euer SBS das Zertifikat benutzt.

Wie gesagt - ich würde einfach ein Frisches erstellen. Im worst case wird das halt nicht benutzt.

Gruß,
Jörg
Mitglied: ipzipzap
ipzipzap 20.07.2018 aktualisiert um 00:21:34 Uhr
Goto Top
Zitat von @lcer00:
Wenn du mehrere DCs hast, musst Du überprüfen, ob diese mit oder ohne Zertifikate kommunizieren.

https://technet.microsoft.com/de-de/library/dd443752.aspx

Prüfe die Sicherheitsoptionen der GPOs, ob irgendwo Zertifikate gefördert werden.

Danke, mache ich am Montag. Aber wenn dem so wäre, müßte ich dann nicht in der Zertifizierungsstelle unter "Ausgestellte Zertifikate" passende Zertifikate für die DCs sehen können? Außer für den SBS selber sind da nämlich keine drin, und die sind schon lange (1J+) abgelaufen.


Zitat von @altmetaller:
ohne Kristallkugel kann ich nicht sagen, ob und wofür euer SBS das Zertifikat benutzt.

Sorry, ich meinte natürlich in der Default-Konfig. Der SBS wurde damals dahingestellt und nie viel damit gemacht außer Exchange und AD.


Wie gesagt - ich würde einfach ein Frisches erstellen. Im worst case wird das halt nicht benutzt.

Nachdem, was ich hier sehe, denke ich auch, da da nichts mehr von benutzt wird, und ich die ganze CA einmotten kann.

Ich werde das dann nächste Woche mal virtuell testen und berichten.

Gruß,
ipzipzap