Root CA

[knilch 10]

Hallo zusammen,

 

so komm ich mal gleich zur Sache, ich habe vor kurzer Zeit eine Root-CA auf einem Win2k3 aufgesetzt, nun haben wir umgestellt auf Win2k8 dort habe ich auch eine Root-CA aufgesetzt und die auf dem Win2k3 system wieder entfernt.

 

Mein Problem ist jetzt das in der MMC von Win2k8 unter dem punkt "PKI" beide CA server auftacuhen und beide laufen nicht? haben ein rotes "x" :( ich habe keinen Plan warum der alte server da noch mit aufgeführt ist... und weiss auch nicht wie ich den weg bekommen?!

 

Kann mir wer helfen?

[olc 18]

Hi,

 

ist die 2003er CA als auch die 2008er CA eine Enterprise CA, also "AD-integriert"? Sieht für mich erst einmal so aus...

 

Ist die Antwort "ja", schau doch einmal (z.B. mittels ADSIEdit oder LDP), wo überall die alte CA unterhalb des folgenden LDAP-Pfades aufgeführt ist: CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain>,DC=<tld>

 

Besonders interessant sind die beiden Container "CN=Certification Authorities" und "CN=NTAuthCertificates". Liegt dort unter Umständen noch die "Leiche" der alten CA?

 

Bitte bedenke: Entfernst Du die alte CA auch von dort, sind die bisher ausgestellten Zertifikate ungültig, sobald diese Änderung auf den Clients übernommen wurde, da diese die Zertifikatkette nicht mehr verifizieren können, sobald das alte Root-Zertifikat aus dem lokalen, zwischengespeicherten Store entfernt wurde. Das passiert nach dem Entfernen des entsprechenden Zertifikats vom genannten Pfad / den genannten Containern.

 

Viele Grüße

olc

[knilch 10]

THX! ja sind beide AD integriert! werde mich mal durch den LDAP-baum wursteln! Und das mit der Zertifikaten ist kein prob. da ich noch keine ausgestellt ahbe mit dem 2003 :) der war nur zum Testen!

 

Aber das ganze ist doch nicht normal wenn die CA sauber entfernt wird oder?

[thorgood 10]

Wenn du nicht direkt im LDAP "rumschrauben" willst geht das ganze natürlich auch über

die MMC Active Directory Sites and Services.

 

http://support.microsoft.com/kb/555151