steppe 10 Geschrieben 22. Februar 2011 Melden Teilen Geschrieben 22. Februar 2011 Hallo zusammen, ich habe vor unsere alte Zertifizierungstelle abzulösen (1 stufig, ad integriert, nichts außer basis-efs und domänencontroller zerts) und gegen eine 2 stufige zu ersetzen. Der Plan steht schon. Allerdings noch ein paar abschließende Fragen. Die alte Zertifizierungsstelle (auch DC WSUS etc) hatte ich probeweise mal für 5 Tage ausgelassen und auf den anderen Servern nach Fehlern geschaut. Folgende sind mir untergekommen: KDC 20 Das zurzeit ausgewählte KDC-Zertifikat war vorher gültig, aber ist jetzt ungültig und es konnte kein geeigneter Ersatz gefunden werden. NETLOGON 5774Fehlerwert: Die DNS-Signatur konnte nicht überprüft werden. Sind beide Fehler an der nicht erreichbaren CA festzumachen (und sind nach der Anleitung zum entfernen weg) oder hab ich noch ein Problem ;) Kann ich eigentlich auch einfach eine 2. CA ins Netz bringen (meine neue), die auch Domänencontroller Zertifikate verteilt und so einen Ausfall zB der WLAN Authentifizierung unterbinden ? Oder soll ich erst die alte CA vollständig entfernen und dann die neue aufbauen ? Ich habe gesehn, dass die alte CA die Basis-EFS Zertifikate ausgestellt hat. Kann ich irgendwie per Abfrage schauen ob jemand seine Platte oder Teile davon verschlüsselt hat ? Bevor ich die alte CA abschalte würde ich das gern wissen. Grüße Stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Februar 2011 Melden Teilen Geschrieben 22. Februar 2011 Hi Stephan, das korrekte Vorgehen ist hier beschrieben - und man tut gut daran, alle Punkte zu befolgen :) : How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000 Prüfe nach verschlüsselten Dateien kannst Du entweder mit "cipher.exe" oder "EFSDump.exe": http://www.serverhowto.de/Teil-3-Fazit-und-Empfehlungen.636.0.html Viele Grüße olc Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 22. Februar 2011 Autor Melden Teilen Geschrieben 22. Februar 2011 Hallo olc, genau diese Anleitung meine ich und sie ist auch schon fast meine Startseite ;) Wichtig ist für mich auch die Frage ob ich eine 2. parallel aufbaun kann oder ob ich das besser lassen sollte ? Grüße Stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 22. Februar 2011 Melden Teilen Geschrieben 22. Februar 2011 Hi Stephan, grunsätzlich kann man mehrere PKIs parallel betreiben, jedoch gibt es einige Fallstricke. So nutzt ein DC etwa das "erste Zertifikat", welches in seinem Speicher gefunden wird, um SmartCard Authentifizierungen, LDAP/S usw. bereitzustellen. Outlook mit S/MIME reagiert in einigen Versionen ähnlich bei E-Mail Verschlüsselung. Viele andere Applikationen und Dienste können ein gleiches Verhalten aufweisen. Was will ich damit sagen: Ohne genau zu wissen, was Du derzeit alles für Applikationen und Dienste mit Zertifikaten der aktuellen PKI nutzt, wird eine Antwort schwer. Zu den anderen Punkten hatte ich etwas gesagt. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 22. Februar 2011 Autor Melden Teilen Geschrieben 22. Februar 2011 Danke olc, dann werd ich wohl Tor 1 nehmen und die CA vorher entfernen. Bisher wirds ja nur zur PEAP Authentifizierung vom WLAN benutzt. Das mit dem Basis-EFS macht mir allerdings noch Sorgen. Ich hatte die GPO gesetzt, dass Verschlüsselung nicht erlaubt ist und hatte heute nun ein Anruf von einem Kollege bekommen, dass er eine Datei nicht mehr öffnen kann (der Ordner in der die Datei war, war verschlüsselt). Kann ich irgendwie sicherstellen, dass ich trotzdem noch auf die Daten zugreifen kann ? Oder muss ich per attrib und script hoffen, dass ich alle Benutzer erwische bevor ich anfange ? ;) Grüße Stephan Zitieren Link zu diesem Kommentar
StefanWe 14 Geschrieben 22. Februar 2011 Melden Teilen Geschrieben 22. Februar 2011 du könntest alle ausgestellten Zertifikate sichern( mit privatem Schlüssel ) und auf ein sicheres Medium ablegen. Dann kannst du weiterhin an die Daten ran. Allerdings solltest du das Ablaufdatum beachten. Wenn das Zertifikat nicht mehr gültig ist und auch nicht verlängert wurde, dann kommst du nicht an die Daten ran. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 23. Februar 2011 Melden Teilen Geschrieben 23. Februar 2011 Hi Steppe, Du kannst durchaus auch zwei CAs parallel betreiben, wenn Du Dir über die möglichen Probleme bewußt bist und entsprechende Gegenmaßnahmen ergreifst. Je nachdem, über welche Größenordnung wir hier sprechen, kann jedoch eine Ablösung der alten CA vorher Sinn machen, damit ersparst Du Dir größere Fragestellungen. Aber das geht halt nur in kleinen Umgebungen, in größeren Landschaften fällt dieser Ansatz meist aus. Bezüglich EFS: Bist Du Dir sicher, daß Du EFS korrekt deaktiviert hattest und es sich um einen Domänenclient handelte? Sofern ein Data Recovery Agent vorhanden ist, kannst Du die EFS Daten notfalls damit wiederherstellen - andernfalls müssen das die Benutzer selbst tun. Hinweise zu dem EFS Thema findest Du auch in dem oben genannten ServerHowTo.de Link. Viele Grüße olc Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 24. Mai 2011 Autor Melden Teilen Geschrieben 24. Mai 2011 Hallo, kleiner Nachtrag und Nachfrage zum Thema. Alte CA abgelöst. Neue zweistufige installiert. Nun noch 2 Fragen: Was ist die Bestpractice Sicherung ? Ich kann entweder die komplette virtuelle Machine jeden Tag sichern, die Windows Server Sicherung benutzen oder auch nur Mo-Do die Zertifikate sichern (geht das auch über Commandline?) und am Freitag die VM. Wie kann ich erreichen, dass zB das Webserver Zertifikat 5 oder 10 Jahre hält anstatt nur 2 ? Ich hab den Registry Eintrag geändert (betrifft das dann alle Vorlagen?) und eine Doppelte Vorlage für den Webserver erstellt mit 5 bzw 10 Jahren. Die Laufzeit der SubCA ist 15 Jahre. Ich würde gerne Zertifkate für alle iLOs und HP SMH erstellen laut faq o matic: faq-o-matic.net » ILO-Board und HP System Management Homepage mit Zertifikaten einer eigenen CA versorgen Und da ein Server nun mal an die 7 Jahre läuft ;) Will ich nicht 3mal ein Zertifkat ausstellen müssen. Grüße Stephan Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 24. Mai 2011 Melden Teilen Geschrieben 24. Mai 2011 Hi, sichern kannst Du wie folgt: Back up a certification authority: Public Key ("certutil.exe -backup"). Dazu noch die Registry Schlüssel des "CertSrv" Zweigs unter HKLM\System\CurrentControlSet\Services\CertSrv. Alles andere (VM Sicherung usw.) kannst Du zusätzlich machen. Mit Deiner anderen Frage kann ich nichts anfangen - Du mußt ein wenig genauer beschreiben, was konkret Du an Reg-Schlüsseln angepaßt hast, ob Du die CA danach neu gestartet hast und was danach passiert ist, als Du ein angepaßtes Template für die Zertifikatausstellung genutzt hast. Viele Grüße olc Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 24. Mai 2011 Autor Melden Teilen Geschrieben 24. Mai 2011 Hallo olc, danke für die Antwort. Dann setz ich das morgen mal auf. Zur 1. Frage Folgendes hab ich gemacht. 1. mit certutil -setreg die ca\validityperiodunits auf 5 gesetzt 2. certsvc neugestartet 3. doppelte vorlage von webseite mit laufzeit 5 jahren 4. vorlage erlaubt 5. base64 code über webregistrierung eingetragen (kann hier die laufzeit hinterlegt sein?) 6 -> fehlermeldung Die genaue geb ich morgen durch. Grüße Stephan Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 26. Mai 2011 Autor Melden Teilen Geschrieben 26. Mai 2011 Hallo, etwas verzögert aber hier die Fehlermeldung: "Der öffentliche Schlüssel erfüllt nicht die Mindestgröße, die von der angegebenen Zertifikatsvorlage angefordert wird" 0x80094811 Da ich aber einfach nur eine Doppelte Vorlage erstellt habe und die Jahre erhöht versteh ich die Meldung nicht ganz :) Aber nun mal im Beispiel Wenn ich die Regkeys gesetzt habe auf 10 Jahre. Dann heißt das doch dass ich nun Zertifikate mit 10 Jahren Gültigkeit ausstellen kann und nicht dass nun nur noch Zertifikate mit 10 Jahren ausgestellt werden ? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. Mai 2011 Melden Teilen Geschrieben 26. Mai 2011 Hi, dann ist im Webinterface eine andere Schlüsselgröße angegeben, als diejenige, die im Template definiert wurde. Die beiden Werte müßtest Du aneinander angleichen, dann sollte es klappen. Auf den ersten Blick hat das nichts mit der Gültigkeitsdauer zu tun. Die hast Du nach Deinen Ausführungen oben korrekt verändert (vorletzter Post von Dir). :) Viele Grüße olc Zitieren Link zu diesem Kommentar
steppe 10 Geschrieben 26. Mai 2011 Autor Melden Teilen Geschrieben 26. Mai 2011 Danke olc für die große Geduld und die super Ratschläge. Dann leg ich mal los meine neue CA zu benutzen. Da ich viele Sachen abdecken will wird bestimmt noch die eine oder andere Frage kommen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.