takvorian
Goto Top

Zertifikat am DC erneuern funktioniert nicht

Hallo zusammen,

ein einem Windows 2012R2 Domaincontroller ( es existiert nur dieser eine ) ist das Zertifikat seit April abgelaufen.
zertifikat3
inkedzertifikat_li
Bei dem Versuch von mir dies zu erneuern erhalte ich einen Fehler den ich Euch gerne bitten würde anzuschauen.
zertifikat2

Was kann ich tun um das Zertifikat zu erneuern?

Danke für Tipps..

Gruß Michael

Content-Key: 346847

Url: https://administrator.de/contentid/346847

Printed on: June 13, 2024 at 01:06 o'clock

Member: beidermachtvongreyscull
beidermachtvongreyscull Aug 21, 2017 updated at 13:08:05 (UTC)
Goto Top
Ich würde sagen, Deine CA ist Geschichte.
Wie ist denn Deine PKI aufgebaut?

Offline-Tier?

Denn aus Deinen Screenshots ist nicht ersichtlich, ob selbstsigniert oder wirklich ne CA dahinter.
Member: nepixl
nepixl Aug 21, 2017 updated at 13:06:42 (UTC)
Goto Top
Hallo,

ohne weiter nachgedacht zu haben, folgere ich aus dem Fehler, dass die Zertifizierungsstelle nicht als Rolle installiert ist:

Tipp: Klick

Gruß
Member: takvorian
takvorian Aug 21, 2017 at 13:22:39 (UTC)
Goto Top
Hallo HeMan face-smile

das ist definitiv ein selbstsigiertes Zertifikat. Es steckt keine CA dahinter.
Das ganze Netzwerk ist aus einem alten SBS2011 hervorgegangen, dessen Exchange deinstalliert wurde und dieser dann demotet wurde.

@pixl86

korrekt die AD Zertifikatsdienste sind nicht installiert. Habe eben an einem komplett anderen Server geschaut, da ist die Rolle auch nicht installiert. Jedoch gehe ich davon aus dass dies ein Überbleibsel aus dem SBS Netzwerk ist und ich diese jetzt tunlichst nachinstallieren sollte, wobei mir dein Tipp dabei behilflich ist.

Gruß
Member: nepixl
nepixl Aug 21, 2017 at 13:27:44 (UTC)
Goto Top
Hallo takvorian,

falls damit deine Probleme behoben wurden, gerne den Beitrag auf gelöst setzen. -Danke! face-smile

Viel Erfolg!
Member: takvorian
takvorian Aug 21, 2017 at 13:35:50 (UTC)
Goto Top
Hallo,

hab jetzt mal die Zertiefizerungsstelle ausgemacht... tatsählich ein alter SBS2011 Server..
zertifizierungsstelle
Also muss ich die Zertifizierungsdienste zwingend installieren?

Gruß Michael
Member: beidermachtvongreyscull
beidermachtvongreyscull Aug 21, 2017 updated at 13:43:28 (UTC)
Goto Top
Zitat von @takvorian:

Hallo HeMan face-smile

das ist definitiv ein selbstsigiertes Zertifikat. Es steckt keine CA dahinter.
Das ganze Netzwerk ist aus einem alten SBS2011 hervorgegangen, dessen Exchange deinstalliert wurde und dieser dann demotet wurde.

Ja, ist ne Erklärung.


@pixl86

korrekt die AD Zertifikatsdienste sind nicht installiert. Habe eben an einem komplett anderen Server geschaut, da ist die Rolle auch nicht installiert. Jedoch gehe ich davon aus dass dies ein Überbleibsel aus dem SBS Netzwerk ist und ich diese jetzt tunlichst nachinstallieren sollte, wobei mir dein Tipp dabei behilflich ist.

Ui!
Bitte gehe hier behutsam zu Werke. Sei Dir bewußt, was es bedeutet, eine CA bzw. PKI aufzubauen und zu betreiben. Ich selbst fahre meine Server allesamt ohne CA und somit selbstsigniert. Die erneuern ihre Zerts so wie es gebraucht wird und die Nutzer sind an das Prozedere gewöhnt.

Der Sicherheitsaspekt einer CA (kompromittierbar) ist nicht zu verachten.

https://support.microsoft.com/en-us/help/555151


Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.
Member: takvorian
takvorian Aug 21, 2017 at 14:02:56 (UTC)
Goto Top
Hallo HeMan,

danke für Deinen Ratschlag

Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.

Magst du mir kurz umschreiben wie genau ich das zu "bereinigen" habe? Überall die alten CA's raus. Es ist absolut nicht notwendig eine Zertifizierungsstelle einzurichten. Selbstsignierte reichen mir bisher bei allen Kunden aus...

Danke
Member: tomolpi
tomolpi Aug 21, 2017 at 14:10:03 (UTC)
Goto Top
Zitat von @takvorian:

Hallo HeMan,

danke für Deinen Ratschlag

Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.

Magst du mir kurz umschreiben wie genau ich das zu "bereinigen" habe? Überall die alten CA's raus. Es ist absolut nicht notwendig eine Zertifizierungsstelle einzurichten. Selbstsignierte reichen mir bisher bei allen Kunden aus...

Mir hat damals das hier geholfen: http://nolabnoparty.com/en/remove-ca-active-directory/

Hat prima geklappt und die neue CA läuft bis heute problemlos.

LG,

tomolpi
Member: beidermachtvongreyscull
beidermachtvongreyscull Aug 22, 2017 at 07:52:42 (UTC)
Goto Top
Schau mal, ob Du diesem Blog folgenden kannst.

https://mssec.wordpress.com/2013/03/19/manually-remove-old-ca-references ...

Deine CA ist ja schon weg. Der Server existiert ja nicht mehr, oder doch?

Erst mal also nur schauen.
Löschen kann man immer noch...
Member: takvorian
takvorian Aug 22, 2017 updated at 09:19:26 (UTC)
Goto Top
Hallo HeMan,

der alte Server ist definitv weg. Da gibts nix mehr zu machen...
sites_services

Ich schau mir das mal an...
Da steht sogargenau das Verhalten drin, alter SBS entfernt ohne die CA rolle zuvor zu deinstallieren.
Ich werde jetzt erstmal ein backup vom DC erstellen und dann deinem Tipp @heman ( ist schneller zu schreiben als beidermachtvon.... ) folgen.

Wenn ich das bereinigt habe checkt das der Server und stellt sich selbstsignierte neue Zertifikate aus?

Gruß Michael
Member: beidermachtvongreyscull
Solution beidermachtvongreyscull Aug 22, 2017 at 10:55:48 (UTC)
Goto Top
Zitat von @takvorian:

Ich werde jetzt erstmal ein backup vom DC erstellen und dann deinem Tipp @heman ( ist schneller zu schreiben als beidermachtvon.... ) folgen.
Kein Problem. Alles gut. face-smile

Wenn ich das bereinigt habe checkt das der Server und stellt sich selbstsignierte neue Zertifikate aus?
Ja. Sollte er. Aber auch immer schön das Windows Ereignislog im Auge behalten.

Gruß Michael
Member: takvorian
takvorian Aug 22, 2017 at 11:53:52 (UTC)
Goto Top
Hallo,

habe jetzt die Hinweise von HeMan sowie tomolpi abgearbeitet und den DC neu gestartet. Wie lange dauert es bis hier nuee Zertifikate ausgestellt werden, bzw. woran kann ich dies erkennen. in der Konsole (mmc) steht noch immer das alte Zertifikat drin. Die Einträge bei AD Sites an Services sind sauber.

Gruß Michael
Member: beidermachtvongreyscull
beidermachtvongreyscull Aug 22, 2017 at 13:50:41 (UTC)
Goto Top
Noch eine Frage.
Wofür ist denn das alte Zertifikat eigentlich?
Member: takvorian
takvorian Aug 23, 2017 at 06:20:09 (UTC)
Goto Top
Guten Morgen,

das alte Zertifikat war wohl das welches der SBS ursprünglich immer ausgestellt hat. In den Details steht nru dass es für Client- und Serverautentifizierung ist. Mehr ist mir da leider nicht bekannt.

Gruß Michael
Member: beidermachtvongreyscull
beidermachtvongreyscull Aug 23, 2017 at 07:51:30 (UTC)
Goto Top
Schmeiß es raus.
Nur weil es ungültig hindert es den Rechner nicht daran, es zu verwenden.

Gruß,
Andreas
Member: FishersFritz
FishersFritz Aug 23, 2017 at 11:13:03 (UTC)
Goto Top
Hallo,

solange sonst alles funktioniert, würde ich die Variante "Ignorieren" empfehlen.

Ich bin selbst direkt an einem funktionierenden SBS über ein abgelaufenes Zertifikat "gestolpert". Ich habe versucht, dies über alle mir bekannten Wege (Windows Zertifikatsverwaltung etc.) direkt am SBS zu aktualisieren, was aber immer scheiterte. Die einfache Lösung war, dass der SBS speziell zur Zertifikatsverwaltung bzw. -aktualisierung im Servermanager einen Menüpunkt für die Aktualisierung seiner Zertifikate mitbringt. Nachdem Dir diese nun fehlt, besteht m.E. keine Chance, auf der ursprünglichen SBS-CA irgendwas aufzubauen.