SBS2011 CA umziehen, oder: Wozu brauche ich überhaupt eine interne CA?
Hallo,
nachdem ich letzte Woche zuerst Exchange von einem SBS2011 zu Exchange 2016 auf einer eigenen VM wegmigriert habe, habe ich mich diese Woche an den Rest gemacht nach dieser Anleitung hier:
https://windowsserveressentials.com/2017/03/28/migrate-sbs-2011-standard ...
Dort ist auch die Migration der im SBS eingebauten CA beschrieben, was ich auch schon so durchgeführt habe. Leider kamen erst danach die Zweifel und Fragen, ob das so gut ist.
Bisher hatte ich nie was mit CAs zu tun, aber nun, da ich mich mehr damit beschäftige, kommen da so Fragen, wozu man die hier überhaupt (noch) braucht?
Alle in der Zertifizierungsstelle gespeicherten Zertifikate sind entweder abgelaufen oder stehen unter "Fehlgeschlagene Anforderungen", ergo wurden garnicht erst richtig erstellt. Die sind auch ausnahmslos alle für den Computeraccount DOMÄNE\SBS2011$, der mehrmals täglich versucht, sich ein Zertifikat zu erstellen. Die ausgestellten (und abgelaufenen) Zertifikate beziehen sich auch nur auf den Computeraccount, "Sites" oder Exchange.
Eine Webseite wurde nie auf dem SBS gehostet, Sharepoint wurde nicht genutzt und der Exchange (alt sowie neu) hat öffentliche, bezahlte Zertifikate. Radius oder 802.1x-Zertifikate werden auch nicht benutzt.
Ich würde ja sagen, das die CA komplett in die Tonne kann, wenn unter "ausgestellte Zertifikate" nicht noch sowas stehen würde wie DOMÄNE\SBS2011 mit der Zertifikatsvorlage "Domänencontroller (DomainController).
AFAIK arbeitet das AD doch überhaupt nicht mit Zertifikaten, oder habe ich hier was übersehen? Wozu ist hier dieses Domänencontroller-Zertifikat? Und kann ich die CA gefahrlos einmotten?
Danke im Voraus,
ipzipzap
nachdem ich letzte Woche zuerst Exchange von einem SBS2011 zu Exchange 2016 auf einer eigenen VM wegmigriert habe, habe ich mich diese Woche an den Rest gemacht nach dieser Anleitung hier:
https://windowsserveressentials.com/2017/03/28/migrate-sbs-2011-standard ...
Dort ist auch die Migration der im SBS eingebauten CA beschrieben, was ich auch schon so durchgeführt habe. Leider kamen erst danach die Zweifel und Fragen, ob das so gut ist.
Bisher hatte ich nie was mit CAs zu tun, aber nun, da ich mich mehr damit beschäftige, kommen da so Fragen, wozu man die hier überhaupt (noch) braucht?
Alle in der Zertifizierungsstelle gespeicherten Zertifikate sind entweder abgelaufen oder stehen unter "Fehlgeschlagene Anforderungen", ergo wurden garnicht erst richtig erstellt. Die sind auch ausnahmslos alle für den Computeraccount DOMÄNE\SBS2011$, der mehrmals täglich versucht, sich ein Zertifikat zu erstellen. Die ausgestellten (und abgelaufenen) Zertifikate beziehen sich auch nur auf den Computeraccount, "Sites" oder Exchange.
Eine Webseite wurde nie auf dem SBS gehostet, Sharepoint wurde nicht genutzt und der Exchange (alt sowie neu) hat öffentliche, bezahlte Zertifikate. Radius oder 802.1x-Zertifikate werden auch nicht benutzt.
Ich würde ja sagen, das die CA komplett in die Tonne kann, wenn unter "ausgestellte Zertifikate" nicht noch sowas stehen würde wie DOMÄNE\SBS2011 mit der Zertifikatsvorlage "Domänencontroller (DomainController).
AFAIK arbeitet das AD doch überhaupt nicht mit Zertifikaten, oder habe ich hier was übersehen? Wozu ist hier dieses Domänencontroller-Zertifikat? Und kann ich die CA gefahrlos einmotten?
Danke im Voraus,
ipzipzap
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 380753
Url: https://administrator.de/contentid/380753
Ausgedruckt am: 21.11.2024 um 12:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Intern verbinden sich die Clients also unverschlüsselt mit dem Exchange?
Dann brauch ja nur wer kurz Wireshark anschmeißen und kann entspannt die Mails von deinem Chef mitlesen.
Für dich wohl kontraproduktiv solang du nicht selbst der Chef bist. Andere können dort bestimmt einen Nutzen daraus ziehen.
Wie groß ist denn euere Umgebung das du solche Themen ohne große Erfahrung anscheinend am offenen Herzen durchführen kannst?
Das sollte ein Denkanstoß über den Sinn einer Internen CA geben und den Nutzen erklären.
Es sei denn es ist genug Geld in der Portokasse und hier können auch flockig gekaufte Zertifikate genutzt werden.
Gruß
Spirit
Intern verbinden sich die Clients also unverschlüsselt mit dem Exchange?
Dann brauch ja nur wer kurz Wireshark anschmeißen und kann entspannt die Mails von deinem Chef mitlesen.
Für dich wohl kontraproduktiv solang du nicht selbst der Chef bist. Andere können dort bestimmt einen Nutzen daraus ziehen.
Wie groß ist denn euere Umgebung das du solche Themen ohne große Erfahrung anscheinend am offenen Herzen durchführen kannst?
Das sollte ein Denkanstoß über den Sinn einer Internen CA geben und den Nutzen erklären.
Es sei denn es ist genug Geld in der Portokasse und hier können auch flockig gekaufte Zertifikate genutzt werden.
Gruß
Spirit
Hallo,
sagen wir mal so: Ich habe auf diversen SBS-Servern die CA im laufenden Betrieb komplett deinstalliert und alle Zertifikate verworfen.
Anschließend habe ich die neu installiert (inklusive Zertifizierungsstellen-Webregistrierung) und alle Zertifikate manuell neu gebaut und in die jeweiligen Dienste (IIS, Exchange usw.) eingebaut.
Das funktioniert inkl. automatischer Verlängerung Bestens, die Server stehen seit 2 Jahren "komplett auf grün" und das sogar noch dann, wenn der Assistent zur Behebung von Netzwerkproblemen durchgelaufen ist^^
Mit anderen Worten: Was spricht dagegen, für die Domäne ein neues Zertifikat über die neue CA zu etablieren?
Gruß,
Jörg
P.S.: "Von extern" hänge ich immer einen Apache2 als reversen Proxy davor, der alle externen URLs per Let's encrypt durchzertifiziert.
sagen wir mal so: Ich habe auf diversen SBS-Servern die CA im laufenden Betrieb komplett deinstalliert und alle Zertifikate verworfen.
Anschließend habe ich die neu installiert (inklusive Zertifizierungsstellen-Webregistrierung) und alle Zertifikate manuell neu gebaut und in die jeweiligen Dienste (IIS, Exchange usw.) eingebaut.
Das funktioniert inkl. automatischer Verlängerung Bestens, die Server stehen seit 2 Jahren "komplett auf grün" und das sogar noch dann, wenn der Assistent zur Behebung von Netzwerkproblemen durchgelaufen ist^^
Mit anderen Worten: Was spricht dagegen, für die Domäne ein neues Zertifikat über die neue CA zu etablieren?
Gruß,
Jörg
P.S.: "Von extern" hänge ich immer einen Apache2 als reversen Proxy davor, der alle externen URLs per Let's encrypt durchzertifiziert.
Hallo,
Wenn du mehrere DCs hast, musst Du überprüfen, ob diese mit oder ohne Zertifikate kommunizieren.
https://technet.microsoft.com/de-de/library/dd443752.aspx
Prüfe die Sicherheitsoptionen der GPOs, ob irgendwo Zertifikate gefördert werden.
Grüße
lcer
Wenn du mehrere DCs hast, musst Du überprüfen, ob diese mit oder ohne Zertifikate kommunizieren.
https://technet.microsoft.com/de-de/library/dd443752.aspx
Prüfe die Sicherheitsoptionen der GPOs, ob irgendwo Zertifikate gefördert werden.
Grüße
lcer
Hallo,
ohne Kristallkugel kann ich nicht sagen, ob und wofür euer SBS das Zertifikat benutzt.
Wie gesagt - ich würde einfach ein Frisches erstellen. Im worst case wird das halt nicht benutzt.
Gruß,
Jörg
ohne Kristallkugel kann ich nicht sagen, ob und wofür euer SBS das Zertifikat benutzt.
Wie gesagt - ich würde einfach ein Frisches erstellen. Im worst case wird das halt nicht benutzt.
Gruß,
Jörg