Jump to content

PKI komplett neu aufbauen

Renator

Von Renator
in Windows Server Forum

Direkt zur Lösung Gelöst von Renator,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Renator Community Regular

Renator   10

Geschrieben
Geschrieben

Hallo,

 

ich würde gerne unsere PKI komplett neu aufbauen. Hier wurden über Jahre hinweg von irgendwelchen externen Firmen teilweise einfach irgendwelche Stammzertifikatsstellen installiert und auch wieder deinstalliert etc.

 

Nachdem die Thematik Lync, Office 365 etc. immer näher rückt und ich auch grundsätzlich mal ein wenig Ordnung schaffen wollte, werde ich das nun hier "einfach" mal anpacken.

 

Ok zum ersteren: Ich werde eine rootCA brauchen, welche dann am besten nach der Einrichtung einer subCA offline geschaltet wird. Sinn und Zweck der Geschichte ist klar und auch verständlich.

 

So nun darf ich im AD ja keine 2 PKIs haben. Und wenn ich nun bereits eine rootCA auf einem DC habe, bekomme ich diese zwar vermutlich auch auf einen anderen Server migriert, aber ich müsste weiterhin diesen schrecklichen kryptischen aktuellen Namen behalten. Und wenn ich schon Ordnung mache... dann gleich richtig.

 

Auf der anderen Seite will ich ja auch nicht alle aktuell vergebenen Zertifikate verlieren, zumal ich mir nicht wirklich sicher bin, was es für Folgen hat, wenn plötzlich die Computerkontozertifikate von den DCs ungültig werden etc.

 

Also muss irgendwie sanft migriert werden. Wie geht das am besten?

 

Und: Das CA Zertifikat wird automatisch über das AD verteilt? Hier werden nämlich irgendwelche uralten rootCA Zertifikate von irgendwelchen nicht mehr vorhandenen CAs verteilt. Wie kann ich das los werden? In den Gruppenrichtlinien habe ich so nichts gefunden.

 

Danke!

  • Beste Lösung
Renator Community Regular

Renator   10

Geschrieben
  • Autor
  • Beste Lösung
Geschrieben (bearbeitet)

So... nun bin ich heute schon etwas weiter. Laut dieser Quelle ist der Umzug gar nicht so schlimm:

http://blogs.technet.com/b/askds/archive/2010/08/23/moving-your-organization-from-a-single-microsoft-ca-to-a-microsoft-recommended-pki.aspx

 

Ok... habe nun relativ problemlos meine neue PKI aufgebaut. Ich warte nun mal einen Tag bis sie garantiert im AD ist und werde dann mal die Vorlagen bei der alten raus nehmen. Dann muss ich nur noch warten bis alle Zertifikate abgelaufen bzw. bei der neuen PKI geholt wurde.

 

War doch erstauntlich leicht.

 

Vielen Dank trotzdem!

bearbeitet von Renator
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...