Zum Inhalt wechseln


Foto

PKI Wechsel ohne AD

Windows Server 2008 R2

  • Bitte melde dich an um zu Antworten
9 Antworten in diesem Thema

#1 Theese

Theese

    Newbie

  • 4 Beiträge

 

Geschrieben 14. September 2017 - 13:26

Hallo zusammen,

 

ich habe da ein paar Fragen bzgl. PKI Umzug zu einem neuen Server. Ich würde mich freuen wenn mir dazu jemand etwas helfen könnte.

Laut Google gibt es so einige Anleitungen zu einem erfolgreichem Umzug einer PKI (zB: https://pits-online....rierenumziehen/  oder http://hope-this-hel...euem-Namen.html).

 

Ich würde aber gerne nur eine bestehende PKI von unserem aktuellem DC1 entfernen und auf einen separaten Zert-Server ablegen. 

Laut Anleitung Theoretisch machbar, ich weiß aber nicht wie sich das danach verhält mit der AD auf dem DC1. Ob diese dann noch funktioniert, oder ob da noch was weiteres angepasst werden muss.

 

Ich würde mich um eine kleine Hilfestellung freuen.

 

MfG



#2 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 14. September 2017 - 13:34

Hallo und willkommen im Forum.

 

Eigentlich ist hier  alles beschrieben: https://blogs.techne...003-to-2012-r2/

 

Viel mehr kann man eigentlich, ohne eine konkretes  Problem, nicht schreiben.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 14. September 2017 - 14:18

Moin,

 

der DC wird durch das Entfernen der PKI nicht beeinträchtigt.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 Theese

Theese

    Newbie

  • 4 Beiträge

 

Geschrieben 14. September 2017 - 14:22

Vielen dank für die schnelle Antwort,

 

wenn ich das Howto richtig lese, kann ich im Endeffekt das Zertifikat einfach auf einen anderen Server schieben/registrieren ohne das ich den Servernamen speziell noch im Zertifikat anpassen muss.

Desweiteren muss im Anschluss für alle Geräte (Aktuell PCs im LAN/WLAN) ein neues PC Zertifikat verteilen, mit dem die sich dann anmelden. 

Der DC an sich wird davon nicht berührt und auch in der eigentlichen AD muss nichts extra angepasst werden ? 



#5 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 14. September 2017 - 15:10

Falls Du die CRL und (falls verwendet) einen OCSP verwendest:

Hier könntest Du ein Problem mit dem Revocation-Check bekommen, wenn Du keinen DNS-Alias verwendet hast.

Denn den deren URLs ist in den bereits ausgestellten Zertifikaten enthalten.

Normalerweise ändert man nach dem Schwenk nur den DNS-Alias...


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#6 Theese

Theese

    Newbie

  • 4 Beiträge

 

Geschrieben 15. September 2017 - 07:30

Da dies von einem Kollegen lange vor meiner Zeit aufgesetzt wurde, kann ich das so nicht sagen. Kannst du mir sagen wo ich das gegenprüfen kann @zahni ? 

Im Zertifikat oder im DNS?



#7 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 15. September 2017 - 07:41

Du schaut Dir unter Windows ein ausgestelltes Zertifikat an. Der Wert "Zugriff auf  Stelleninformationen" (wer auch immer das übersetzt hat).


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#8 Theese

Theese

    Newbie

  • 4 Beiträge

 

Geschrieben 15. September 2017 - 08:31

Wenn ich das Stammzertifikat auf einen Client öffne, fehlt dieser Punkt in dem Zertifikat.

Wenn ich auf meine Zertifizierungsstelle gehe und in den Eigenschaften des Zertifikats nachprüfe ist unter Erweiterungen-Zugriff auf Stelleninformationen jeweils  <ServerDNSName> im Pfad eingetragen. 



#9 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 15. September 2017 - 09:02

Der fehlt komplett? Ungewöhnlich.  Bei Youtube steht  z.B.

 

[1]Stelleninformationszugriff
     Zugriffsmethode=Zertifizierungsstellenaussteller (1.3.6.1.5.5.7.48.2)
     Alternativer Name:
          URL=http://pki.google.com/GIAG2.crt
[2]Stelleninformationszugriff
     Zugriffsmethode=Onlinestatusprotokoll des Zertifikats (1.3.6.1.5.5.7.48.1)
     Alternativer Name:
          URL=http://clients1.google.com/ocsp

 

Dann kannst Du ungültige Zertifikate nicht sperren (z.B. von Usern)


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#10 NilsK

NilsK

    Expert Member

  • 12.334 Beiträge

 

Geschrieben 15. September 2017 - 09:39

Moin,

 

OK, dann klingt das für mich, als sollte man die vorhandene PKI einfach wegwerfen und eine neue ordentlich aufbauen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!