Jump to content

PKI komplett neu aufbauen


Direkt zur Lösung Gelöst von Renator,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich würde gerne unsere PKI komplett neu aufbauen. Hier wurden über Jahre hinweg von irgendwelchen externen Firmen teilweise einfach irgendwelche Stammzertifikatsstellen installiert und auch wieder deinstalliert etc.

 

Nachdem die Thematik Lync, Office 365 etc. immer näher rückt und ich auch grundsätzlich mal ein wenig Ordnung schaffen wollte, werde ich das nun hier "einfach" mal anpacken.

 

Ok zum ersteren: Ich werde eine rootCA brauchen, welche dann am besten nach der Einrichtung einer subCA offline geschaltet wird. Sinn und Zweck der Geschichte ist klar und auch verständlich.

 

So nun darf ich im AD ja keine 2 PKIs haben. Und wenn ich nun bereits eine rootCA auf einem DC habe, bekomme ich diese zwar vermutlich auch auf einen anderen Server migriert, aber ich müsste weiterhin diesen schrecklichen kryptischen aktuellen Namen behalten. Und wenn ich schon Ordnung mache... dann gleich richtig.

 

Auf der anderen Seite will ich ja auch nicht alle aktuell vergebenen Zertifikate verlieren, zumal ich mir nicht wirklich sicher bin, was es für Folgen hat, wenn plötzlich die Computerkontozertifikate von den DCs ungültig werden etc.

 

Also muss irgendwie sanft migriert werden. Wie geht das am besten?

 

Und: Das CA Zertifikat wird automatisch über das AD verteilt? Hier werden nämlich irgendwelche uralten rootCA Zertifikate von irgendwelchen nicht mehr vorhandenen CAs verteilt. Wie kann ich das los werden? In den Gruppenrichtlinien habe ich so nichts gefunden.

 

Danke!

Link zu diesem Kommentar
  • Beste Lösung

So... nun bin ich heute schon etwas weiter. Laut dieser Quelle ist der Umzug gar nicht so schlimm:

http://blogs.technet.com/b/askds/archive/2010/08/23/moving-your-organization-from-a-single-microsoft-ca-to-a-microsoft-recommended-pki.aspx

 

Ok... habe nun relativ problemlos meine neue PKI aufgebaut. Ich warte nun mal einen Tag bis sie garantiert im AD ist und werde dann mal die Vorlagen bei der alten raus nehmen. Dann muss ich nur noch warten bis alle Zertifikate abgelaufen bzw. bei der neuen PKI geholt wurde.

 

War doch erstauntlich leicht.

 

Vielen Dank trotzdem!

bearbeitet von Renator
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...