PKI Neunstallation Best Practice Frage

[Gruffy 10]

Hallo

 

Folgendes:

3DC´s wo eine hat die PKI Rolle. Die DC´s werden mit neuen Platten beschmückt und neu installiert mit 2k8 R2. Die PKI Datenbank werde ich natürlich sichern.. was ich aber fragen möchte ist:

Wie mach ich das am besten mit der PKI Rolle – soll ich den DC neu aufsetzen und dann einfach die Datenbank zurücksichern oder auf einen anderen DC migrieren ?

Wie macht man das am besten ?

[olc 18]

Hi,

 

eine CA auf einem DC zu installieren sollte man wenn möglich immer vermeiden - ich würde fast soweit gehen und sagen, daß das ein "no go" ist.

 

Du nimmst also am besten einen neuen Server und migrierst dann die CA: How to move a certification authority to another server

 

Viele Grüße

olc

[Gruffy 10]

Hallo OLC,

 

Wie werden sich die TS Clients verhalten in der Zeit wo keine Zert. Stelle vorhanden ist ?

[olc 18]

Hi,

 

solange sie eine gültige CRL oder Delta CRL haben, bekommen sie keine Probleme. Sollte jedoch der Ablauf der CRLs genau in den Migrationszeitraum fallen, dann wird das problematisch, da dann kein CDP erreichbar ist.

 

Ich würde Dir empfehlen das Vorgehen im "Trockenen" zu üben (in einer abgeschotteten VM zum Beispiel) und erst dann durchzuführen, wenn Du damit vertraut bist. Generell ist das im Normalfall weniger problematisch, aber Fehler sind ja wie immer nicht auszuschließen. Wenn alles gut vorbereitet ist, dann ist das im Normalfall eine Sache von 20 Minuten - und in diesen 20 Minuten sollte es im Normalfall zu keinen größeren Problemen kommen.

 

Viele Grüße

olc

[Gruffy 10]

Die Jetzige Zert. Stelle ist auf einem Server 2008 32bit installiert..

Da der Server (wegen größere HDD´s )neu aufgesetzt werden soll habe ich die Chance das in Hyper-V zu Installieren.

Mal richtig zu machen statt auf einem DC das ganze laufen zu lassen ;)..

Mein Gedanke ist nach dem der Server bereitgestellt ist die Zertifikate via GPO automatisch ausrollen zu lassen und somit auch den ganzen ärger (nach dem die bereits installierten bzw. ausgestellten Zertifikate ihre Gültigkeit verlieren ) zu sparen.

 

Oder gibt es da ein anderen Weg der auch akzeptabel wäre ?

Vielleicht ist auch mein Gedanke falsch..

Wie ist eure Meinung dazu ?

 

Brauche guten Rat und Tipps.

[olc 18]

Hi Gruffy,

 

das ist schwer zu sagen, kommt auf Deine Umgebung / Applikationen / Dienste an.

Grundsätzlich kannst Du schon alles neu machen - die Frage ist eher, was passiert mit den alten ausgerollten Zertifikaten? Insbesondere auf Server-Systemen.

 

Wenn überhaupt, dann solltest Du das auch in Bezug auf die CA selbst richtig angehen: How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000

 

Viele Grüße

olc

[Gruffy 10]

Hallo olc :)

 

das ist schwer zu sagen, kommt auf Deine Umgebung / Applikationen / Dienste an.

Grundsätzlich kannst Du schon alles neu machen - die Frage ist eher, was passiert mit den alten ausgerollten Zertifikaten? Insbesondere auf Server-Systemen.

 

Mal davon ab wäre es nicht so dass wenn die vorhanden Zertifikate ihre Gültigkeit verlieren..

Werden neue in der Zeit via GPO von der Neue Zertifizierungsstelle ausgerollt und damit auch

sollte es (Theoretisch ) gut sein ?

[olc 18]

Hi Gruffy,

 

einfach neue Zertifikate ausrollen reicht nicht ;). Nur ein Beispiel dazu: IIS mit SSL wird nicht einfach das neue Zertifikat übernehmen (zumindest nicht in dieser Konstellation). Du müßtest das neue Zertifikat der neuen CA manuell "umbauen".

 

Wenn keine speziellen Anforderungen existieren, könnte es mit Client und Benutzer Zertifikaten klappen. Aber auch da gibt es Fallstricke, so daß man zumindest die alten Zertifikate entfernt, um Fehlern vorzubeugen.

Es kommt wie gesagt ein wenig auf Deine Umgebung an - es kann alles recht problemlos laufen, es kann aber auch richtig heftige Probleme geben.

 

Wofür setzt Ihr denn derzeit die PKI ein, d.h. was für Zertifikate stellt Ihr aus, für welchen Zweck etc.?

 

Viele Grüße

olc

[Gruffy 10]

Moin Olc,

 

In meine Test Umgebung versuche ich eine PKI Stelle zu migrieren..

Es klappte ganz gut bis auf:

DeltaCRL - hier wird noch der Alte PKI Server als Adresse angezeigt.. Wie kann ich das korrigieren ?

[Gruffy 10]

Ähm... Refresh.

 

Ich brauche Hilfe :suspect:

[tom701 10]

kurze Frage in diese Richtung:

Habe in der letzten Woche mal eine Unternehmens CA bei uns installiert.

Bis jetzt wird diese für nichts genutzt. Soll zukünftig für eine Secure Gateway (Zugriff auf Server im LAN) verwendet werden.

Die Unternehmens CA stellt nun munter Zertifikate aus.

Muss ich hier etwas beachten? Gibt es Abhängigkeiten wenn die CA nicht mehr da ist?

Gruß Tom

[olc 18]

Hi,

 

@Gruffy: Mach am besten einen neuen Thread auf mit einer genauen Fehlerbeschreibung. Sonst wird es hier zu unübersichtlich.

Vermutlich meinst Du die alten Zertifikate - darin kann die CRL Lokation nicht mehr verändert werden, das geht nur bei neu ausgestellten Zertifikaten.

Wie gesagt, am besten neuer Thread.

 

@Tom: Es macht sich meist nicht so gut, einen Thread zu "kapern". Also auch hier gilt es, einen neuen Thread zu öffnen.

Grundsätzlich gilt: Wenn Du zusätzliche Zertifikate nicht benötigst, dann solltest Du die Ausstellung unterbinden.

 

Viele Grüße

olc

[Gruffy 10]

Hey Olc,

 

Mach am besten einen neuen Thread ...

 

Das mache ich mal.. und hoffe weiterhin auf deine Unterstützung :)