Gruffy 10 Geschrieben 9. Februar 2010 Melden Geschrieben 9. Februar 2010 Moin, Folgendes, In unseren Unternehmen ist die PKI Stelle auf einem DC Installiert. Ja ich Weiß… nun möchte ich die Cert stelle auf einem anderen Host migrieren. Das ganze Prozedere habe ich in eine Test Umgebung ausgeführt und es funktioniert. Eine Sache macht mich allerdings stutzig.. CRL Delta Speicherort zeigt an das kein Download möglich ist. Mir ist klar das nach der PKI rücksicherung der Datenbank dies zustande kommt.. Wird sich das erst wieder regeln wenn die alten (noch gültigen ) Zertifikate ihre Gültigkeit verlieren oder muss man da Manuel angreifen ? Please, Enlight me :)
nerd 28 Geschrieben 9. Februar 2010 Melden Geschrieben 9. Februar 2010 Hi, der Pfad zur CRL steht in jedem ausgestellten Zertifikat - damit werden die alten Zertifikate weiterhin auf deinen alten Server zeigen und folglich versuchen von dort die CRL zu laden. Ich richte daher den CRL Pfad meist auf einen alias ein - den kann man dann via DNS auf neue Server umziehen ohne stress zu bekommen. (z. B. crl.fragmichnicht.de)
Gruffy 10 Geschrieben 9. Februar 2010 Autor Melden Geschrieben 9. Februar 2010 Tag, Das heißt das ich den CRL Pfad auf den neuen Host ändern kann und dann sollte alles wieder hübsch sein ? Habe ich dich richtig verstanden ?
nerd 28 Geschrieben 9. Februar 2010 Melden Geschrieben 9. Februar 2010 Hi, nur für die neuen Zertifikate (oder wenn du bei den alten Zertifikaten schon einen DNS Alias für die CRL mitgegeben hast).
Gruffy 10 Geschrieben 9. Februar 2010 Autor Melden Geschrieben 9. Februar 2010 ok.. Wie mach ich das denn ?
olc 18 Geschrieben 10. Februar 2010 Melden Geschrieben 10. Februar 2010 Hi, Du definierst im DNS einen ALIAS für den neuen DNS Eintrag des neuen Servers. Der Alias zeigt dann auf eine neue Lokation, aber mit dem neuen Namen. Viele Grüße olc
Gruffy 10 Geschrieben 11. Februar 2010 Autor Melden Geschrieben 11. Februar 2010 Ah ja.. das ist schlau.. :) Doch eins bleibt noch, der CRL Pfad zeigt auf den DC was mir quasi den Alias Namen nimmt.. :( Es bleibt dann nichts anderes als den DC nach der neu Installation (was ich sowieso vor habe wegen Platten Wechsel) einen anderen Namen zu vergeben. oder denke ich falsch ?
olc 18 Geschrieben 11. Februar 2010 Melden Geschrieben 11. Februar 2010 Hi, genau solche Probleme sind der Grund, eine CA erst gar nicht auf einem DC zu installieren... ;) Wenn Du den Alias Weg gehen möchtest, muß der Name des DCs geändert werden. Alternativ kannst Du bestehende Zertifikate austauschen, um so neue CRL Lokationen einfließen zu lassen. Je nachdem, wie groß die Umgebung ist bzw. wie viele Zertifikate für bestimmte Zwecke ausgestellt wurden, kann der eine oder der andere Weg schmerzfreier sein. Viele Grüße olc
Gruffy 10 Geschrieben 12. Februar 2010 Autor Melden Geschrieben 12. Februar 2010 Hi Olc, Man lernt nie aus :wink2:.. Danke für die Unterstützung :)
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden