flashlightz
Goto Top

Windows CA Migration 2012R2 auf 2019 Core

Hallo zusammen,
ich habe heute eine unserer Unternehmens-PKI Zertifizierungsstellen auf 2019 Core Umgezogen.

RootCA von 2012 R2 GUI auf 2019 Core
1. Backup CA
2. Backup der Registry certsrv
3. deinstalltion der Serverrollen


Installation der Rolle auf neuem Server(neuer Servername)
Installation mit vorhandenem Zertifikat und Schlüssel.


Es läuft soweit auch alles, nur habe ich im pkiview folgende Ansicht.
Name| Status| Ablaufdatum | Ort
SubCA | OK | |
Zertifizierungsstellenzertifikat | OK | 09.09.2025 00:00 |
AIA-Speicherort #1 | OK | 09.09.2025 00:00 | ldap:CN=RootCA,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?cACertificate?base?objectClass=certificationAuthority
Speicherort für Sperrlisten-Verteilungspunkte #1 | OK | 14.05.2020 23:55 | ldap:
CN=RootCA,CN=NEUERSERVER,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?certificateRevocationList?base?objectClass=cRLDistributionPoint
DeltaCRL-Speicherort #1 | OK | 11.05.2020 23:55 | ldap:CN=RootCA,CN=ALTERSERVER,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?deltaRevocationList?base?objectClass=cRLDistributionPoint
Speicherort für Sperrlisten-Verteilungspunkte #1 | OK | 14.05.2020 23:55 | ldap:
CN=RootCA,CN=ALTERSERVER,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=DOMAENE,DC=DE?certificateRevocationList?base?objectClass=cRLDistributionPoint

Nun die Frage wie verhalten sich die zwei letzten Zeilen, wenn ich den ALTERSERVER komplett außer betrieb nehme?
Bzw. wie gehe ich mit den Zeilen um?

Ich wollte die SubCA nun auch umziehen auch mit neuem Servername.

VG

Content-ID: 571033

Url: https://administrator.de/contentid/571033

Ausgedruckt am: 04.11.2024 um 22:11 Uhr

Dani
Dani 11.05.2020 um 17:13:13 Uhr
Goto Top
Moin,
Nun die Frage wie verhalten sich die zwei letzten Zeilen, wenn ich den ALTERSERVER komplett außer betrieb nehme?
an deiner Stelle würde ich die CA nicht umziehen sondern frisch aufsetzen. Hast du schon CAs gesehen die auf LDAP zurückgreifen? Ich bis auf zwei Ausnahmen nicht.

Für mich sieht das nach Broken by Design aus. Greife auf HTTP und DNS Aliases zurück und die nächste Migration wird relativ simpel und schnell erledigt sein. face-smile


Gruß,
Dani
FlashLightz
FlashLightz 12.05.2020 um 06:11:10 Uhr
Goto Top
Moin,
hilft leider an der Stelle auch nicht weiter. Dass wir die irgendwann mal neu erstellen müssen ist schon klar, aber wie gehe ich "jetzt" mit der Situation um ?

Ich möchte aktuell keine 1200 Zertifikate mit der SubCA neu ausstellen müssen, da funktioniert alles über LDAP.

VG
Dani
Dani 12.05.2020 um 13:47:50 Uhr
Goto Top
Moin,
warum meint jeder er kann eine (mehrstufige) PKI vollumfänglich betreiben?! die dutzende Anleitungen im Internet sind die Basics aber der laufende Betrieb, Wartung und möglichen Migrationen wird dort meist nicht aufgeklärt.

müssen ist schon klar, aber wie gehe ich "jetzt" mit der Situation um ?
Spontan würde ich sagen, der neue Server muss den Namen des bisherigen/alten Servers übernehmen. Dann könnte es funktionieren. Allerdings hast du im Worst Case evtl. gar keine funktionierende CA. Das Zurückspielen der Datensicherung ist dann auf Grund der Integration in LDAP auch keine wirklicher Plan b).

Ich möchte aktuell keine 1200 Zertifikate mit der SubCA neu ausstellen müssen, da funktioniert alles über LDAP.
Die Frage ist wie hoch ist der Automatisierungsgrad bei euch?

Unabhängig davon ist die gängige Praxis eine paralelle Bereitstellung der neuen PKIs. Denn die bisher ausgestellten Zertfikate verlieren nicht automatisch ihre Gültigkeit. Wichtig ist, dass die Sperrpunkte/OCSP Adresse erreichbar bleibt, bis das letzte Zertifikat ausgelaufen ist.

Ich würde eine vollständig neue PKI Infrastukru aufbauen (lassen), welche solche Details und evtl. auch andere Stolpersteine zur Seite räumt. Denn ich vermute, dass nächste Problem wird die (restliche) Laufeit des Zertifikates der SubCA bzw. RootCA werden. Aus Erfahrung werden es nicht weniger Zertifikate sondern zukünftig deutlich mehr. D.h. du schriebst die obengeschilderte Problematik weiter vor dir her. Und irgendwann stehst du direkt unter Zugzwang ohne Alternativen.


Gruß,
Dani
FlashLightz
FlashLightz 13.05.2020 um 06:52:04 Uhr
Goto Top
Guten Morgen Dani,
es ist einfacher gedacht als angenommen.

Wenn man auf CA verwalten geht, dann auf Eigenschaften und hier auf "Extensions/Erweiterungen" einfach einen LDAP String für die Sperrlisten hinzufügen und anstatt <CNAmeServer> den alten Server Plain reinschreiben.

Somit Published die neue CA auch unter dem alten Pfad die Sperrliste und die alten Zertifikate funktionieren weiterhin. Neue Zertifikate werden dann mit dem neuen CRL Speicherort erstellt.

Dies muss solange bleiben, bis die letzten Zertifikate der alten CA ausgelaufen sind. Dann gibt es auch keine Probleme beim ändern des Servernames.

Vielen Dank noch Mal für die Mühe face-smile

VG
Dani
Dani 13.05.2020 um 13:16:16 Uhr
Goto Top
Moin,
Somit Published die neue CA auch unter dem alten Pfad die Sperrliste und die alten Zertifikate funktionieren weiterhin. Neue Zertifikate werden dann mit dem neuen CRL Speicherort erstellt.
Sicher? Weil damit müssten auch Zertifikate nach der Änderung als Sperrlisteprüfpunkt LDAP eingetragen haben. Die Information wird nämlich unabhängig des Zertifikatstyp immer gesetzt. Oder hast du nun mehrere Sperrlistenpunkte mit den verschiedenen Namen angelegt?

Gruß,
Dani
FlashLightz
FlashLightz 23.09.2020 um 13:49:01 Uhr
Goto Top
Hi Dani,
sorry fürs nicht antworten.

Ich habe jetzt mehrere angelegt, war zu dem Zeitpunkt weniger Aufwand.

Müssen die CA aber noch mal neu aufbauen mit bisschen mehr Planung.

VG