CA Move auf anderen Server

[travelfreak 10]

Hi,

 

ich habe in einer TEstumgebung den Umzug einer CA von einem w2k3 auf

einen w2k8r2 durchgspielt. Der neue hat einen anderen hostnamen.

 

Foglendes hab ich gemacht:

- backup ca db und Registry

- ca dienste deinstalliert

- ca rolle installiert

- restore ca db und Registry

- CAServerName in Registry geändert.

 

Hab mich an den Migration Guide gehalten. Ist das wirklich alles, was man

hier beachten muß bei Umzug auf einen anderen Host ? Bei einem ersten Test

wurden Certs ausgestellt.

 

Nur im AD zeigt mir noch einiges auf den alten Host, bzw. CN, z.B. Certification Authorities unter CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=testlab,DC=test

 

Dem CDP im AD wurde der neue CA Server hinzugeügt.

 

Desweiteren ist mir aufgefallen, das wenn ich die Cert Website lokal öffne, das ich nur 2 Certificate Template zur Auswahl habe,

nämlich User und Basic EFS. Greif ich von einem anderen client auf die Seite zu, dann habe ich noch weitere Templates, z.B.

WebServer, ADministrator ..... Warum ?

 

Was muß ich hier noch zusätzlich beachten? Sind beides Enterprise CAs.

 

Danke,

marcus

[olc 18]

Hi,

 

im Kern mußt Du alles prüfen, wo der alte CA Hostname auftaucht. So etwa die CDP, AIA (also etwa HTTP Links, wenn Du sie nicht generalisiert hast) usw. Nur die Umbenennung und Anpassung des Dienstes reicht also im Kern - je nach Deiner Konfiguration und Struktur - nicht aus.

 

Auf die alten CDP Container (AD als auch andere Lokationen) muß das neue Computerkonto Schreibberechtigungen haben, denn wenn dort die CRLs veröffentlicht werden sollen, tut dies ja nun die neue Maschine. Und Du *mußt* die CRLs auch auf die Verteilungspunkte der alten Maschine veröffentlichen, denn dort zeigen ja die von der alten CA ausgestellten Zertifikate hin. Es sei denn, Du hast von Anfang an alle URLs nicht auf den logischen Maschinennamen gebunden, was ich jedoch anhand Deiner Angaben von oben ausschließe.

 

Bezüglich des Enrollments: Wie genau greifst Du denn auf die Webseite zu? Sind beide Clients vom gleichen OS? ALso W7 / W7 oder versuchst Du es von unterschiedlichen OS? Ist der angemeldete Benutzer derselbe usw.? Da es Änderungen in den Webseiten für das Enrollment gab, ist dies wichtig.

 

Ab Vista / W7 ist es empfehlenswert, nicht mehr die Webenrollment Seiten zu nutzen, sondern die MMC. Einige Funktionen sind per Webenrollment schlichtweg nicht mehr verfügbar.

 

Viele Grüße

olc

[travelfreak 10]

Hi,

 

ich habe mich auch versucht daran zu halten:

Migrating Windows Certificate Authority Server from Windows 2003 Standard to windows 2008 Enterprise Server « SMTP Port 25

 

- wie muß ich diese ldap URL genau eingeben, damit das im AD geändert wird? Berchtigungen des computer kontos sind gesetzt.

 

- ich will vermeiden, das die Zertifikate neu ausgestellt werden müssen. Die CA intern verwendet doch weiterhin den Namen der ehemaligen, auzustellenden CA, oder ? wenn ich in der Registry den common Name ändere, dann wird wohl der Dienste Name angepasst. Auch das sollte keine Auswirkung auf die erstellen Certs haben, oder ?

 

- Zugriff auf die Website war einmal Win7 und einmal lokal vom CA Server (w2k8r2)

 

danke schonmal,

marcus

[olc 18]

Hi,

 

- wie muß ich diese ldap URL genau eingeben, damit das im AD geändert wird? Berchtigungen des computer kontos sind gesetzt.

 

Es wird im AD nichts geändert - das ist ja genau der Punkt. Wenn im Config-NC der alte Name der CA als Container vorhanden war, bleibt das auch weiterhin so. Denn dort müssen ja die CRLs oder neue AIA usw. weiterhin veröffentlicht werden, schließlich hast Du Zertifikate im Umlauf, die darauf verweisen.

 

- ich will vermeiden, das die Zertifikate neu ausgestellt werden müssen.

 

Ja, daher müssen die alten Verteilungspunkte weiterhin aktiv sein und mit aktuellen "Daten" versorgt werden.

 

Die CA intern verwendet doch weiterhin den Namen der ehemaligen, auzustellenden CA, oder ?

 

Ja, den logischen Namen der CA, nicht den Hostnamen, den Du ja geändert hast.

 

wenn ich in der Registry den common Name ändere, dann wird wohl der Dienste Name angepasst. Auch das sollte keine Auswirkung auf die erstellen Certs haben, oder ?

 

Nein, das konkret nicht. Wenn Du jedoch in den CDPs der Zertifikate zum Beispiel eine HTTP URL angegeben hast, die auf den alten Hostnamen der CA verweist, hast Du ein Problem, welches Du beheben mußt.

 

- Zugriff auf die Website war einmal Win7 und einmal lokal vom CA Server (w2k8r2)

 

Kein guter Test, zwei Clients sind hier sinnvoller. :)

 

Wie gesagt, die Webseite ist "tot", Du solltest auf die MMC umstellen.

 

Viele Grüße

olc

[travelfreak 10]

Hi OCL,

 

danke dir. Ich sehe schon, da muß ich mir noch etwas Hintergrundwissen

aneignen.

 

Was meint denn der Kollege von obigem Link wenn er folgendes schreibt:

(ca. in der Mitte des Artikels)

 

Updating CRL Distribution Point and Authority Information Access Extensions

 

1.Loging to Windows 2008 New CA Server

2.Open Certificate MMC

3.Right click on the CA and click on Extenstion and click on ADD and add the below line by changing SourceServername.

 

Ach, jetzt verstehe ich: im AD der CN Name der hier verwendet wird ist der logische Name der CA, nicht des Hostnamens, richit ??? Jetzt wirds langsam hell... ;)

 

gruß

Marcus

[olc 18]

Hi Marcus,

 

genau, es wird an einigen Stellen im Container der "logische" Name verwendet (etwa AIA), an anderen jedoch der Hostname der CA, der ggf. den logischen Namen als Subcontainer enthält (etwa in der CDP).

 

Und genau da liegt die Aufgabenstellung: Da alte Zertifikate zum Beispiel in der CDP auf den alten Hostnamen zeigen, unterhalb des Containers erst der logische Name der CA auftaucht, müssen neue CRLs auch dort hin verteilt werden. Landen die CRLs nur auf dem Container des neuen Hostnamens, hast Du ein Problem - die alten Zertifikate würden irgendwann den Abruf einer veralteten CRL nach sich ziehen.

 

Du kannst also entscheiden, ob Du in der Konfiguration weiterhin nur auf den alten Hostnamen CDP die CRLs veröffentlichst, ob Du den alten und neuen Hostnamen versorgst oder ob Du nur im neuen Hostnamen Container veröffentlichst und die Veröffentlichung im alten Container "manuell" oder gescripted erledigst. Du mußt es nur machen... ;)

 

Schau Dir einmal die Strukturen unterhalb von "CN=Public Key Services,CN=Services,CN=Configuration,DC=deine_domäne,DC=tld" an, dann wirst Du das besser nachvollziehen können. :)

 

Viele Grüße

olc