Windows Zertifizierungsstelle - Root-Cert verlängern nicht möglich

diemilz
Goto Top
Hallo zusammen,

ich habe ein kleines Problem. Unser Root-Cert unserer internen PKI läuft bald ab und ich möchte es verlängern. Laut MS TechNet auch kein Problem, nur den dazugehörigen Eintrag finde ich nicht im Kontextmenü der MMC bei gestoppter CA:

2018_01_31_18_39_55_10.154.30.210_remotedesktopverbindung

Der Server, auf welchem die PKI läuft, ist ein Windows Server 2012 R2 DataCenter in der Core-Installation als Hyper-V VM. Der Zugriff per MMC erfolgt über einen zweiten Windows Server 2012 R2 DataCenter. Die PKI wurde vor über einem Jahr von einem physischem Windows Server 2008 R2 System rübergezogen. Darauf lief sie über fünf Jahre und das Root-Cert wurde damals bereits einmal verlängert.

Fehlen hierbei irgendwelche Berechtigung (Zugriff als Domain-Admin), die beim Umzug verloren gegangen sind oder übersehe ich hier komplett irgend etwas?

Vielen Dank im Voraus.

Stephan

Content-Key: 363104

Url: https://administrator.de/contentid/363104

Ausgedruckt am: 25.05.2022 um 18:05 Uhr

Mitglied: Dani
Dani 31.01.2018 um 21:06:41 Uhr
Goto Top
Moin,
Laut MS TechNet auch kein Problem
Der Link würde ich mich interessieren. Mir ist nämlich nicht klar, wie du ein Zertifikat einer RootCA verlängern willst. Denn schließlich stellt sich die CA dieses selbst aus. Eine Verlängerung kann ich mir daher nicht vorstellen. Was ich durch aus denke, dass bestehende Key für ein neues Zertifikat (Renew) genutzt werden kann. Dazu ein bisschen Lesestoff aus dem Microsoft Wiki.


Gruß,
Dani
Mitglied: dodo30
dodo30 01.02.2018 um 05:41:46 Uhr
Goto Top
Hallo,

ich glaub du musst die CA einfach starten.. dann auf Alle Aufgaben .. dann sollte der button da sein.. du wirst dann aufgefordert die CA zu beenden, einfach bestätigen dann.

Gruß
Dominik
Mitglied: SlainteMhath
SlainteMhath 01.02.2018 um 07:56:49 Uhr
Goto Top
Moin,

erstens sieht das für mich so aus, als würde der Dienst gar nicht laufen ("Dienst anhalten" ausgegraut...) und dann bin ich der Meinung, das sich die CA selbst automatisch ein neues Cert ausstellt. Unter Eigenschaften -> Allgemein solltest du alle aktuell gültigen und all abgelaufenen CA-Certs sehen können

lg,
Slainte
Mitglied: diemilz
diemilz 01.02.2018 um 13:22:26 Uhr
Goto Top
Moin,

laut diesem Technet-Artikel muss die CA gestoppt sein, um überhaupt das Zertifikat erneuern zu können. Der Menüpunkt erscheint auch bei gestarteter CA nicht.

Unter "Eigenschaften" - "Allgemein" ist das aktuell gültige Zertifikat und das bereits abgelaufenen Zertifikat von vor fünf Jahren enthalten.

Kann man das Zertifikat auch über PowerShell oder Commandline erneuern? Ich habe dazu schon gegooglet, aber nicht wirklich etwas brauchbares gefunden.

Gruß,
Stephan
Mitglied: Dani
Dani 02.02.2018 um 12:09:34 Uhr
Goto Top
Moin,
dein Vorgehen ist eigentlich richtig. Hab gerade ein Kollege von PKI auf dem Fluhr getroffen. Bei uns sieht es so aus:
pki-de-fra-rz-bm-ca06

Hast du schon einmal die Ereingisanzeige auf Links gedreht, ob dort evtl. ein Grund sichtbar wird?

Gruß,
Dani
Mitglied: SlainteMhath
SlainteMhath 02.02.2018 um 13:10:32 Uhr
Goto Top
Dem TO Fehlen ja noch mehr Menüpunkte, was für mich eher nach fehlenden Rechten aussieht.

@diemilz
Ruf mal die Eigenschaften der CA auf, und schau auf dem Sicherheits-Tab nach, welcher User/Gruppe das Recht "Manage CA" hat.
Mitglied: diemilz
diemilz 03.02.2018 aktualisiert um 13:37:50 Uhr
Goto Top
Ich bin als Domainadmin angemeldet, welcher laut Sicherheit das Recht zur Verwaltung der CA hat. Ich habe mal testweise die Berechtigungen entfernt und dann wieder hinzugefügt, ohne Wirkung.

In den Eventlogs taucht soweit auch nichts auf.
Mitglied: Dani
Dani 03.02.2018 um 13:50:00 Uhr
Goto Top
Moin,
hast du die Verknüpfung über das Kontextmenü "als Administrator ausführen" gestartet?!


Gruß,
Dani
Mitglied: diemilz
diemilz 03.02.2018 um 14:51:57 Uhr
Goto Top
Japp, aber das hat leider auch keinen Effekt.
Mitglied: Dani
Dani 05.02.2018 um 13:09:38 Uhr
Goto Top
Hallo,
Kann man das Zertifikat auch über PowerShell oder Commandline erneuern? Ich habe dazu schon gegooglet, aber nicht wirklich etwas brauchbares gefunden.
Es gibt ein Tool certutil für die Kommandozeile.

Was steht in der Registry unter HKLM\CurrentControlSet\services\CertSvc\Configuration\<CA Name>\RequestFileName für ein Pfad?
Wie lange ist das Zertifikat deiner RootCA noch gültig?


Gruß,
Dani
Mitglied: diemilz
diemilz 03.03.2018 um 13:23:38 Uhr
Goto Top
Sorry, ich war die letzten Wochen unterwegs, daher komme ich erst jetzt wieder dazu, mich dem Problem zu widmen.

Den Pfad in der Registry gibt es nicht, weder als Schlüssel noch als irgend einen Wert.

Das Zertifikat ist noch gültig bis 23. August 2018.
Mitglied: Dani
Dani 04.03.2018 um 17:55:02 Uhr
Goto Top
Moin,
Den Pfad in der Registry gibt es nicht, weder als Schlüssel noch als irgend einen Wert.
Sehr gut, das sollte bei einer RootCA auch so sein. War ein kleiner Test. :-) face-smile

Ich bin meinen Latein aus der Ferne am Ende. An diesem Punkt hilft aus meiner Sicht a) ein IT-Dienstleister b) Microsoft Support Ticket.


Gruß,
Dani