Vinc211 1 Geschrieben 28. Februar 2017 Melden Teilen Geschrieben 28. Februar 2017 Guten Tag, als ich damals die Zertfizierungsstelle von Windows SBS 2008 auf windows server 2012 r2 gezogen habe ist anscheinend etwas schief gelaufen. Im ADSI Editor im Pfad “CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com” kein Element. Das führt dazu das keine Zertifikatsvorlagen abgerufen werden können und ich keine Zertfikate ausstellen kann. Ich habe die Zertfizierungstelle schon einmal gesichert und wieder eingespielt wie in folgendem Beitrag vorgeschlagen. https://blogs.technet.microsoft.com/askds/2007/11/06/how-to-troubleshoot-certificate-enrollment-in-the-mmc-certificate-snap-in/ Ich benötige das ganze um für einen Linux Server ein SSL Zertfikat herzustellen was nicht self signed ist. Fehlermeldungen auf meinem Weg zu eiuner Lösung: Die erforderlichen Active Directory-Informationen konnten von den Active Directory-Zertifikatdiensten nicht gefunden werden. Es wurden keine gültige Zertfizierungstelle gefunden, die für das Austellen von Zertfikaten basiernd auf dieser Vorlage konfiguriert wurde, oder dieser Vorgang wird dvon der Zertfizierungstelle nicht unterstützt, oder die Zertifizierungstelle ist nicht vertrauenswürdig. Vielen Dank Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 28. Februar 2017 Melden Teilen Geschrieben 28. Februar 2017 Moin, spricht etwas dagegen, die CA einfach platt zu machen und geordnet neu zu installieren? Sie funktioniert ja offenkundig ohnehin nicht. Alte Zertifikate könnte man, soweit vorhanden, dann einfach "rausaltern" lassen. Wenn es nur um einen einzigen Server geht, ist vielleicht eine Windows-PKI auch oversized. Da könnte man z.B. auch mit OpenSSL arbeiten. Gruß, Nils Zitieren Link zu diesem Kommentar
Vinc211 1 Geschrieben 28. Februar 2017 Autor Melden Teilen Geschrieben 28. Februar 2017 Ich würde gern bei der Windows CA bleiben, auch wegen Exchange 2016 etc. Zumindest kenne ich mich damit besser aus als mit openssl. Neumachen ist definitv eine Möglichkeit. Ich kann leider nur die COMODO RSA die anscheinend damals gekauften Zertfikate nicht mit privatemschlüssel als PKCS #12 exportieren. Würde mich das an einer Neuinstallation hindern? Einen guten Leitfaden zum neu machen der CA würde ich dann von windowspro nehmen? Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 28. Februar 2017 Melden Teilen Geschrieben 28. Februar 2017 Moin, was haben die kommerziellen Zertifikate mit deiner CA zu tun? :confused: Gute Anleitungen zum Design und Aufbau einer PKI-Struktur gibt es viele. Vor allem muss das Design zu den Anforderungen passen. Gruß, Nils Zitieren Link zu diesem Kommentar
Vinc211 1 Geschrieben 28. Februar 2017 Autor Melden Teilen Geschrieben 28. Februar 2017 Wenn ich es richtig verstanden habe wurde ein Zertfikat von Comodo gekauft um entsprechend die eigenen Zertfikate zu signieren. Damit kein self signed Zertifikat verwendet wird. Bitte korrigiere mich: Windows kennt doch eine Reihe von "Haupt" Zertfikaten von z.b thawte, GlobalSign und Comodo. Kaufe ich mir ein entsprechendes Zertfikat dieser Anbieter sind meine Zertfikate nicht mehr Self signed und ich muss nicht unbedingt über gpo oder so mein CA Zertifikat in die Vertrauenswürdigen Zertfikate der Rechner geben/übertragen. Das müsste im groben doch so richtig sein =D Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 28. Februar 2017 Melden Teilen Geschrieben 28. Februar 2017 Moin, nein, das ist ziemlich falsch. ;) Gekaufte Zertifikate haben mit einer internen PKI nichts zu tun. Ebenso haben die Root-Zertifikate, die Windows kennt, nichts damit zu tun. Letztere sind dazu da, dass man überhaupt SSL-Seiten im Web aufrufen kann. Dazu muss der Computer den dort genutzten Zertifikaten vertrauen, und das tut er deshalb, weil er die zugehörigen Root-Zertifikate "eingebaut" hat. Ein kommerzielles Zertifikat, das man kauft, ist in aller Regel für die SSL-Absicherung eigener Webseiten da. Dazu könnte man auch Zertifikate aus der eigenen PKI nehmen, aber da hätte man das Problem, dass Externe das zugehörige Root-Zertifikat nicht haben. [Was sind Zertifikate eigentlich und wie funktionieren sie | faq-o-matic.net]http://www.faq-o-matic.net/2012/02/20/was-sind-zertifikate-eigentlich-und-wie-funktionieren-sie/ Wenn du eine interne PKI aufbaust, dann nutzt du diese i.d.R. nur für interne Zwecke. In kleinen Umgebungen haben selbstsignierte Zertifikate kaum Nachteile gegenüber denen aus einer eigenen PKI, daher kann man hier durchaus abwägen. Die eigene PKI hat ja auch ihr Root-Zertifikat, für dessen interne Verteilung man sorgen muss. Gruß, Nils Zitieren Link zu diesem Kommentar
Vinc211 1 Geschrieben 28. Februar 2017 Autor Melden Teilen Geschrieben 28. Februar 2017 Okay mein Kollege sagte mir grade das unser Microsoft CRM mit dem gekauftem SSL Zertfikat versehen wurde, damit es von extern über https erreichbar ist. Sinn ergibt das für mich nicht. Danke für den Link. Das hat auf jedenfall geholfen. Was mir noch nicht ganz klar ist, ist warum ich dann einen so großen Aufwand betrieben habe um die CA vom SBS 2008 auf Server 2012 R2 zu bekommen. Welchen Vorteil hat es eine CA "weiterzuführen". Da würden mir nur Zertfikate einfallen die sich öfter erneuern und entsprechend die alte CA anfragen wie z.B RADIUS? In welche Ausfälle und Komplikationen steure ich potenziell wenn ich die CA neu mache? Vorallem mit Sicht auf Exchange 2016, Microsoft Dynamics CRM. Das ich das neue root Zertifikat dann über eine gpo verteile ist soweit klar. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 28. Februar 2017 Melden Teilen Geschrieben 28. Februar 2017 Moin, Okay mein Kollege sagte mir grade das unser Microsoft CRM mit dem gekauftem SSL Zertfikat versehen wurde, damit es von extern über https erreichbar ist. Sinn ergibt das für mich nicht. sagen wir es so: Genau dafür sind kommerzielle Zertifikate da. Hab ich ja oben beschrieben. Völlig übliches Vorgehen. Was mir noch nicht ganz klar ist, ist warum ich dann einen so großen Aufwand betrieben habe um die CA vom SBS 2008 auf Server 2012 R2 zu bekommen. Tja, wie soll ich das beantworten? Hast du dir vorher keine Gedanken darüber gemacht? Welchen Vorteil hat es eine CA "weiterzuführen". Da würden mir nur Zertfikate einfallen die sich öfter erneuern und entsprechend die alte CA anfragen wie z.B RADIUS? Zertifikate erneuern sich nicht von selbst, das muss schon jemand tun. Es kann schon Sinn ergeben, eine CA zu migrieren und so weiterzuführen, aber gerade in kleineren Umgebungen ist das keineswegs immer erforderlich. Das ist eine Frage von Anforderungen und Design - vielleicht erwähnte ich das schon, im Zusammenhang mit PKI sollte man sich ausreichend Zeit für Planung und Konzept nehmen, sonst wird das nix. In welche Ausfälle und Komplikationen steure ich potenziell wenn ich die CA neu mache? Vorallem mit Sicht auf Exchange 2016, Microsoft Dynamics CRM. Das ich das neue root Zertifikat dann über eine gpo verteile ist soweit klar. Das lässt sich so nicht beantworten. Wenn man es richtig macht: Keine. Wenn man es nicht richtig macht: Viele. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Vinc211 1 Geschrieben 1. März 2017 Autor Melden Teilen Geschrieben 1. März 2017 ich habe jetzt mal folgende Anleitung durchgearbeitet und kann wieder Zertfikate austellen. https://support.microsoft.com/de-de/help/2795825/reinstall-the-ca-role-in-windows-server-2012-essentials Soweit so gut. Hoffe das es keine weiteren Probleme gibt. Danke Nils! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.