Windows Zertifizierungsstelle - Root-Cert verlängern nicht möglich
Hallo zusammen,
ich habe ein kleines Problem. Unser Root-Cert unserer internen PKI läuft bald ab und ich möchte es verlängern. Laut MS TechNet auch kein Problem, nur den dazugehörigen Eintrag finde ich nicht im Kontextmenü der MMC bei gestoppter CA:
Der Server, auf welchem die PKI läuft, ist ein Windows Server 2012 R2 DataCenter in der Core-Installation als Hyper-V VM. Der Zugriff per MMC erfolgt über einen zweiten Windows Server 2012 R2 DataCenter. Die PKI wurde vor über einem Jahr von einem physischem Windows Server 2008 R2 System rübergezogen. Darauf lief sie über fünf Jahre und das Root-Cert wurde damals bereits einmal verlängert.
Fehlen hierbei irgendwelche Berechtigung (Zugriff als Domain-Admin), die beim Umzug verloren gegangen sind oder übersehe ich hier komplett irgend etwas?
Vielen Dank im Voraus.
Stephan
ich habe ein kleines Problem. Unser Root-Cert unserer internen PKI läuft bald ab und ich möchte es verlängern. Laut MS TechNet auch kein Problem, nur den dazugehörigen Eintrag finde ich nicht im Kontextmenü der MMC bei gestoppter CA:
Der Server, auf welchem die PKI läuft, ist ein Windows Server 2012 R2 DataCenter in der Core-Installation als Hyper-V VM. Der Zugriff per MMC erfolgt über einen zweiten Windows Server 2012 R2 DataCenter. Die PKI wurde vor über einem Jahr von einem physischem Windows Server 2008 R2 System rübergezogen. Darauf lief sie über fünf Jahre und das Root-Cert wurde damals bereits einmal verlängert.
Fehlen hierbei irgendwelche Berechtigung (Zugriff als Domain-Admin), die beim Umzug verloren gegangen sind oder übersehe ich hier komplett irgend etwas?
Vielen Dank im Voraus.
Stephan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 363104
Url: https://administrator.de/forum/windows-zertifizierungsstelle-root-cert-verlaengern-nicht-moeglich-363104.html
Ausgedruckt am: 26.12.2024 um 19:12 Uhr
12 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Laut MS TechNet auch kein Problem
Der Link würde ich mich interessieren. Mir ist nämlich nicht klar, wie du ein Zertifikat einer RootCA verlängern willst. Denn schließlich stellt sich die CA dieses selbst aus. Eine Verlängerung kann ich mir daher nicht vorstellen. Was ich durch aus denke, dass bestehende Key für ein neues Zertifikat (Renew) genutzt werden kann. Dazu ein bisschen Lesestoff aus dem Microsoft Wiki.Gruß,
Dani
Moin,
erstens sieht das für mich so aus, als würde der Dienst gar nicht laufen ("Dienst anhalten" ausgegraut...) und dann bin ich der Meinung, das sich die CA selbst automatisch ein neues Cert ausstellt. Unter Eigenschaften -> Allgemein solltest du alle aktuell gültigen und all abgelaufenen CA-Certs sehen können
lg,
Slainte
erstens sieht das für mich so aus, als würde der Dienst gar nicht laufen ("Dienst anhalten" ausgegraut...) und dann bin ich der Meinung, das sich die CA selbst automatisch ein neues Cert ausstellt. Unter Eigenschaften -> Allgemein solltest du alle aktuell gültigen und all abgelaufenen CA-Certs sehen können
lg,
Slainte
Dem TO Fehlen ja noch mehr Menüpunkte, was für mich eher nach fehlenden Rechten aussieht.
@diemilz
Ruf mal die Eigenschaften der CA auf, und schau auf dem Sicherheits-Tab nach, welcher User/Gruppe das Recht "Manage CA" hat.
@diemilz
Ruf mal die Eigenschaften der CA auf, und schau auf dem Sicherheits-Tab nach, welcher User/Gruppe das Recht "Manage CA" hat.
Hallo,
Was steht in der Registry unter HKLM\CurrentControlSet\services\CertSvc\Configuration\<CA Name>\RequestFileName für ein Pfad?
Wie lange ist das Zertifikat deiner RootCA noch gültig?
Gruß,
Dani
Kann man das Zertifikat auch über PowerShell oder Commandline erneuern? Ich habe dazu schon gegooglet, aber nicht wirklich etwas brauchbares gefunden.
Es gibt ein Tool certutil für die Kommandozeile.Was steht in der Registry unter HKLM\CurrentControlSet\services\CertSvc\Configuration\<CA Name>\RequestFileName für ein Pfad?
Wie lange ist das Zertifikat deiner RootCA noch gültig?
Gruß,
Dani
Moin,
Ich bin meinen Latein aus der Ferne am Ende. An diesem Punkt hilft aus meiner Sicht a) ein IT-Dienstleister b) Microsoft Support Ticket.
Gruß,
Dani
Den Pfad in der Registry gibt es nicht, weder als Schlüssel noch als irgend einen Wert.
Sehr gut, das sollte bei einer RootCA auch so sein. War ein kleiner Test. Ich bin meinen Latein aus der Ferne am Ende. An diesem Punkt hilft aus meiner Sicht a) ein IT-Dienstleister b) Microsoft Support Ticket.
Gruß,
Dani