hermann1514 11 Geschrieben 20. Januar 2016 Melden Geschrieben 20. Januar 2016 Hallo, wir betreiben zur Zeit eine reine Windows Server 2008 R2 AD. Der DC hat auch die Rolle der CA für unsere AD. Für die Migration auf Windows Server 2012R2 würde ich gerne die CA auf einem extra Server installieren. Ist es möglich, einen neuen Windows Server 2012R2 als MemberServer zu installieren, ihm die Rolle der CA geben und eine Neue CA zu installieren? Da wir nicht so viele Zertifikate haben, würde ich die bereits ausgestellen Zertifikate neu erstellen und ausrollen. Oder gibt es Probleme wenn es 2 CA's in der AD gibt? Ist sonst noch was zu beachten? Danke für Eure Hilfe. Gruß Hermann
Nobbyaushb 1.581 Geschrieben 20. Januar 2016 Melden Geschrieben 20. Januar 2016 Hallo, dazu gibt es eine Anleitung: https://technet.microsoft.com/en-us/library/ee126140(v=ws.10).aspx Und sogar als Video https://www.youtube.com/watch?v=SB8ibISkzvI ;)
hermann1514 11 Geschrieben 21. Januar 2016 Autor Melden Geschrieben 21. Januar 2016 Supi, Danke. Was passiert denn mit den aktuellen Zertifikaten wenn die alte CA entfernt wurde. Bekommen die Clients dann für die Zeit des "Ausfalls" eine Fehlermeldung? Gruß Hermann
ChrisRa 42 Geschrieben 21. Januar 2016 Melden Geschrieben 21. Januar 2016 Was meinst du mit Clients? Switche o.ä.? Die werden natürlich meckern, wenn die Sperrlisten etc. der "alten" CA nicht mehr existieren. Um genaueres zu sagen, haben wir leider zu wenig Informationen deiner Infrastruktur.
hermann1514 11 Geschrieben 21. Januar 2016 Autor Melden Geschrieben 21. Januar 2016 Hi, ja ich meine die Clients. Was passiert in der Zeit wenn die Clients auf einem Webserver zugreifen, der ein internes Zertifikat hat? Gruß Hermann
NilsK 3.046 Geschrieben 21. Januar 2016 Melden Geschrieben 21. Januar 2016 Moin, das kann man steuern. Ein üblicher Weg ist, solche internen Zertifikate einfach "auslaufen" zu lassen. Das setzt voraus, dass mindestens ein CRL-Pfad, der im Zertifikat benannt ist, erreichbar ist, bis das letzte Zertifikat abläuft oder nicht mehr genutzt wird. Dazu braucht man nicht die ganze CA, sondern nur den Web- oder Dateipfad. Gruß, Nils
ChrisRa 42 Geschrieben 21. Januar 2016 Melden Geschrieben 21. Januar 2016 Oder du bestückst die Clients parallel schon mit dem neuen Root-CA Zertifikat und stellst dann nach und nach die internen Webserver um. Wenn du die Sperrlisten der alten CA offline nimmst, kriegen die Clients verständlicherweise Zertifikatswarnungen. Das ist definitiv nicht zu empfehlen.
hermann1514 11 Geschrieben 21. Januar 2016 Autor Melden Geschrieben 21. Januar 2016 Also wäre es doch besser eine neue CA zu installieren - wenn es nicht so viele selbst signierte Zertifikate gibt. Gibt es denn für die Installation einer 2. CA auch ein Anleitung oder ist Installation genauso wie die erste CA?
Dukel 468 Geschrieben 21. Januar 2016 Melden Geschrieben 21. Januar 2016 Ich hoffe nicht, dass du die neue CA auf dem DC, wie die erste CA installierst sondern auf einer eigenen Maschine. Wie du die CA installierst kommt auf die Anforderungen an die CA an.
hermann1514 11 Geschrieben 21. Januar 2016 Autor Melden Geschrieben 21. Januar 2016 Nö, die neue CA wird auf einem dedizierte Windows Server2012R2 installiert. Es gibt eigentlich keine speziellen Anforderungen. Die Zertifikate die ausgestellt sind, sind nur WEBSERVER Zertifikate.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden