badger
Goto Top

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Prinzipiell sollten diesen Punkt ja die meisten schon erledigt haben bzw. gibt es ja schon viele Anleitungen dafür im Internet.
Ich bin jetzt allerdings über einen Fehler gestoßen den es so noch nicht zu finden gibt (Zumindest habe ich ihm nicht gefunden).

Ich migrierte meine CA anhand dieser Anleitung dieser Anleitung.
Dieses Vorgehen war bei mir notwendig, da meine Root CA unter Server 2003 erstellt wurde und wir immer noch Server 2008R2 verwenden. Somit ist ein "einfacher" Wechsel leider nicht möglich. (Über diverse Alternativmöglichkeiten wie OpenSSL odgl. gehe ich da jetzt mal nicht ein).

Nach Abschluss aller Punkte zeigten sich dann bei mir 2 Probleme:
1) Beim Starten des Dienstes bekam ich die Fehlermeldung "Ungültiger Schlüssel 0x80090003 (-2146893821)".
screenshot2

2) Ich konnte den Privaten Schlüssel des Zertifikats nicht mehr exportieren, da dieser als "nicht exportierbar" gekennzeichnet ist.

Zum ersten Problem (Ungültiger Schlüssel):
In der Ereignisanzeige war folgendes zu finden:
Die Active Directory-Zertifikatdienste wurden nicht gestartet: Das aktuelle Zertifizierungsstellenzertifikat konnte nicht geladen bzw. verifiziert werden. CA Name Ungültiger Schlüssel 0x80090003 (-2146893821).
screenshot1

Nach ewig langer Suche konnte ich das Problem finden.

Beim Export und Reimport der Zertifikate werde nur gültige Zertifikate übernommen - nicht jedoch bereits Abgelaufene.
Unter HKLM\system\CurrentControlSet\Services\Certsvc\Configuration\CA Name gibt es den Wert CACertHash.
Dieser beinhaltet einen Verlauf aller jemals vorhandenen Zertifikate (jede Zeile ist der Hash eines Zertifikats. Sortiert nach Datum. Also oben die "Alten" - unten die "Neuen").

Man muss einfach die Hash-Werte der abgelaufenen Zertifikate durch - (Minus) ersetzen (Details).
Im Anschluss startet der Dienst ohne Probleme.

Zum weiten Problem (nicht exportierbar):
Sobald ein Zertifikat von CSP auf KSP migriert wurde lässt es sich weder mittels Certutil -importpfx, noch mittels Certutil –restorekey als auch nicht direkt über die mmc über Zertifizierungsstelle wiederherstellen importieren/wiederherstellen, so dass im Anschluss der Private Schlüssel als exportierbar markiert ist.
Warum/Wieso? Ich habe absolut keine Ahnung und habe auch nur Gleichgesinnte gefunden aber keine Lösung.

Den einzigen Workaround den ich habe:
  1. Zertifizierungsstelle wiederherstellen (sei es nun über certutil oder die mmc)
  2. mmc - Zertifikate - lokaler Computer öffnen
  3. CA Zertifikat(e) löschen
  4. Direkt über die mmc das/die neuen Zertifikat(e) importieren. Dabei den Haken bei "Schlüssel exportierbar markieren" setzen.


Vlt. helften diese Tipps den ein oder anderen.

Grüße
Patrick

Content-ID: 343325

Url: https://administrator.de/contentid/343325

Printed on: October 6, 2024 at 20:10 o'clock