6
Windows CA Migration 2012R2 auf 2019 Core
Hallo zusammen,
ich habe heute eine unserer Unternehmens-PKI Zertifizierungsstellen auf 2019 Core Umgezogen.
RootCA von 2012 R2 GUI auf 2019 Core
1. Backup CA
2. Backup der Registry certsrv
3. deinstalltion der Serverrollen
Installation der Rolle auf neuem Server(neuer Servername)
Installation mit vorhandenem Zertifikat und Schlüssel.
Es läuft soweit auch alles, nur habe ich im pkiview folgende Ansicht.
Name| Status| Ablaufdatum | Ort
SubCA | OK | |
Zertifizierungsstellenzertifikat | OK | 09.09.2025 00:00 |
AIA-Speicherort #1 | OK | 09.09.2025 00:00 | ldap:CN=RootCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?cACertificate?base?objectClass=certificationAuthority
Speicherort für Sperrlisten-Verteilungspunkte #1 | OK | 14.05.2020 23:55 | ldap:CN=RootCA,CN=NEUERSERVER,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?certificateRevocationList?base?objectClass=cRLDistributionPoint
DeltaCRL-Speicherort #1 | OK | 11.05.2020 23:55 | ldap:CN=RootCA,CN=ALTERSERVER,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?deltaRevocationList?base?objectClass=cRLDistributionPoint
Speicherort für Sperrlisten-Verteilungspunkte #1 | OK | 14.05.2020 23:55 | ldap:CN=RootCA,CN=ALTERSERVER,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?certificateRevocationList?base?objectClass=cRLDistributionPoint
Nun die Frage wie verhalten sich die zwei letzten Zeilen, wenn ich den ALTERSERVER komplett außer betrieb nehme?
Bzw. wie gehe ich mit den Zeilen um?
Ich wollte die SubCA nun auch umziehen auch mit neuem Servername.
VG
ich habe heute eine unserer Unternehmens-PKI Zertifizierungsstellen auf 2019 Core Umgezogen.
RootCA von 2012 R2 GUI auf 2019 Core
1. Backup CA
2. Backup der Registry certsrv
3. deinstalltion der Serverrollen
Installation der Rolle auf neuem Server(neuer Servername)
Installation mit vorhandenem Zertifikat und Schlüssel.
Es läuft soweit auch alles, nur habe ich im pkiview folgende Ansicht.
Name| Status| Ablaufdatum | Ort
SubCA | OK | |
Zertifizierungsstellenzertifikat | OK | 09.09.2025 00:00 |
AIA-Speicherort #1 | OK | 09.09.2025 00:00 | ldap:CN=RootCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?cACertificate?base?objectClass=certificationAuthority
Speicherort für Sperrlisten-Verteilungspunkte #1 | OK | 14.05.2020 23:55 | ldap:CN=RootCA,CN=NEUERSERVER,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?certificateRevocationList?base?objectClass=cRLDistributionPoint
DeltaCRL-Speicherort #1 | OK | 11.05.2020 23:55 | ldap:CN=RootCA,CN=ALTERSERVER,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?deltaRevocationList?base?objectClass=cRLDistributionPoint
Speicherort für Sperrlisten-Verteilungspunkte #1 | OK | 14.05.2020 23:55 | ldap:CN=RootCA,CN=ALTERSERVER,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?certificateRevocationList?base?objectClass=cRLDistributionPoint
Nun die Frage wie verhalten sich die zwei letzten Zeilen, wenn ich den ALTERSERVER komplett außer betrieb nehme?
Bzw. wie gehe ich mit den Zeilen um?
Ich wollte die SubCA nun auch umziehen auch mit neuem Servername.
VG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 571033
Url: https://administrator.de/contentid/571033
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Für mich sieht das nach Broken by Design aus. Greife auf HTTP und DNS Aliases zurück und die nächste Migration wird relativ simpel und schnell erledigt sein.
Gruß,
Dani
Nun die Frage wie verhalten sich die zwei letzten Zeilen, wenn ich den ALTERSERVER komplett außer betrieb nehme?
an deiner Stelle würde ich die CA nicht umziehen sondern frisch aufsetzen. Hast du schon CAs gesehen die auf LDAP zurückgreifen? Ich bis auf zwei Ausnahmen nicht.Für mich sieht das nach Broken by Design aus. Greife auf HTTP und DNS Aliases zurück und die nächste Migration wird relativ simpel und schnell erledigt sein.
Gruß,
Dani
Moin,
hilft leider an der Stelle auch nicht weiter. Dass wir die irgendwann mal neu erstellen müssen ist schon klar, aber wie gehe ich "jetzt" mit der Situation um ?
Ich möchte aktuell keine 1200 Zertifikate mit der SubCA neu ausstellen müssen, da funktioniert alles über LDAP.
VG
hilft leider an der Stelle auch nicht weiter. Dass wir die irgendwann mal neu erstellen müssen ist schon klar, aber wie gehe ich "jetzt" mit der Situation um ?
Ich möchte aktuell keine 1200 Zertifikate mit der SubCA neu ausstellen müssen, da funktioniert alles über LDAP.
VG
Moin,
warum meint jeder er kann eine (mehrstufige) PKI vollumfänglich betreiben?! die dutzende Anleitungen im Internet sind die Basics aber der laufende Betrieb, Wartung und möglichen Migrationen wird dort meist nicht aufgeklärt.
Unabhängig davon ist die gängige Praxis eine paralelle Bereitstellung der neuen PKIs. Denn die bisher ausgestellten Zertfikate verlieren nicht automatisch ihre Gültigkeit. Wichtig ist, dass die Sperrpunkte/OCSP Adresse erreichbar bleibt, bis das letzte Zertifikat ausgelaufen ist.
Ich würde eine vollständig neue PKI Infrastukru aufbauen (lassen), welche solche Details und evtl. auch andere Stolpersteine zur Seite räumt. Denn ich vermute, dass nächste Problem wird die (restliche) Laufeit des Zertifikates der SubCA bzw. RootCA werden. Aus Erfahrung werden es nicht weniger Zertifikate sondern zukünftig deutlich mehr. D.h. du schriebst die obengeschilderte Problematik weiter vor dir her. Und irgendwann stehst du direkt unter Zugzwang ohne Alternativen.
Gruß,
Dani
warum meint jeder er kann eine (mehrstufige) PKI vollumfänglich betreiben?! die dutzende Anleitungen im Internet sind die Basics aber der laufende Betrieb, Wartung und möglichen Migrationen wird dort meist nicht aufgeklärt.
müssen ist schon klar, aber wie gehe ich "jetzt" mit der Situation um ?
Spontan würde ich sagen, der neue Server muss den Namen des bisherigen/alten Servers übernehmen. Dann könnte es funktionieren. Allerdings hast du im Worst Case evtl. gar keine funktionierende CA. Das Zurückspielen der Datensicherung ist dann auf Grund der Integration in LDAP auch keine wirklicher Plan b). Ich möchte aktuell keine 1200 Zertifikate mit der SubCA neu ausstellen müssen, da funktioniert alles über LDAP.
Die Frage ist wie hoch ist der Automatisierungsgrad bei euch?Unabhängig davon ist die gängige Praxis eine paralelle Bereitstellung der neuen PKIs. Denn die bisher ausgestellten Zertfikate verlieren nicht automatisch ihre Gültigkeit. Wichtig ist, dass die Sperrpunkte/OCSP Adresse erreichbar bleibt, bis das letzte Zertifikat ausgelaufen ist.
Ich würde eine vollständig neue PKI Infrastukru aufbauen (lassen), welche solche Details und evtl. auch andere Stolpersteine zur Seite räumt. Denn ich vermute, dass nächste Problem wird die (restliche) Laufeit des Zertifikates der SubCA bzw. RootCA werden. Aus Erfahrung werden es nicht weniger Zertifikate sondern zukünftig deutlich mehr. D.h. du schriebst die obengeschilderte Problematik weiter vor dir her. Und irgendwann stehst du direkt unter Zugzwang ohne Alternativen.
Gruß,
Dani
Guten Morgen Dani,
es ist einfacher gedacht als angenommen.
Wenn man auf CA verwalten geht, dann auf Eigenschaften und hier auf "Extensions/Erweiterungen" einfach einen LDAP String für die Sperrlisten hinzufügen und anstatt <CNAmeServer> den alten Server Plain reinschreiben.
Somit Published die neue CA auch unter dem alten Pfad die Sperrliste und die alten Zertifikate funktionieren weiterhin. Neue Zertifikate werden dann mit dem neuen CRL Speicherort erstellt.
Dies muss solange bleiben, bis die letzten Zertifikate der alten CA ausgelaufen sind. Dann gibt es auch keine Probleme beim ändern des Servernames.
Vielen Dank noch Mal für die Mühe
VG
es ist einfacher gedacht als angenommen.
Wenn man auf CA verwalten geht, dann auf Eigenschaften und hier auf "Extensions/Erweiterungen" einfach einen LDAP String für die Sperrlisten hinzufügen und anstatt <CNAmeServer> den alten Server Plain reinschreiben.
Somit Published die neue CA auch unter dem alten Pfad die Sperrliste und die alten Zertifikate funktionieren weiterhin. Neue Zertifikate werden dann mit dem neuen CRL Speicherort erstellt.
Dies muss solange bleiben, bis die letzten Zertifikate der alten CA ausgelaufen sind. Dann gibt es auch keine Probleme beim ändern des Servernames.
Vielen Dank noch Mal für die Mühe
VG
Moin,
Gruß,
Dani
Somit Published die neue CA auch unter dem alten Pfad die Sperrliste und die alten Zertifikate funktionieren weiterhin. Neue Zertifikate werden dann mit dem neuen CRL Speicherort erstellt.
Sicher? Weil damit müssten auch Zertifikate nach der Änderung als Sperrlisteprüfpunkt LDAP eingetragen haben. Die Information wird nämlich unabhängig des Zertifikatstyp immer gesetzt. Oder hast du nun mehrere Sperrlistenpunkte mit den verschiedenen Namen angelegt?Gruß,
Dani
Hi Dani,
sorry fürs nicht antworten.
Ich habe jetzt mehrere angelegt, war zu dem Zeitpunkt weniger Aufwand.
Müssen die CA aber noch mal neu aufbauen mit bisschen mehr Planung.
VG
sorry fürs nicht antworten.
Ich habe jetzt mehrere angelegt, war zu dem Zeitpunkt weniger Aufwand.
Müssen die CA aber noch mal neu aufbauen mit bisschen mehr Planung.
VG
