Jump to content
Sign in to follow this  
hermann1514

weitere CA installieren

Recommended Posts

Hallo,

 

wir betreiben zur Zeit eine reine Windows Server 2008 R2 AD.

 

Der DC hat auch die Rolle der CA für unsere AD.

 

Für die Migration auf Windows Server 2012R2 würde ich gerne die CA auf einem extra Server installieren.

 

Ist es  möglich, einen neuen Windows Server 2012R2 als MemberServer zu installieren, ihm die Rolle der CA geben und eine Neue CA zu installieren?

Da wir nicht so viele Zertifikate haben, würde ich die bereits ausgestellen Zertifikate neu erstellen und ausrollen.

 

Oder gibt es Probleme wenn es 2 CA's in der AD gibt?

 

Ist sonst noch was zu beachten?

 

Danke für Eure Hilfe.

Gruß

Hermann

 

Share this post


Link to post
Share on other sites

Supi, Danke.

 

Was passiert denn mit den aktuellen Zertifikaten wenn die alte CA entfernt wurde. Bekommen die Clients dann für die Zeit des "Ausfalls" eine Fehlermeldung?

 

Gruß

Hermann

Share this post


Link to post
Share on other sites

Was meinst du mit Clients? Switche o.ä.? Die werden natürlich meckern, wenn die Sperrlisten etc. der "alten" CA nicht mehr existieren.

 

Um genaueres zu sagen, haben wir leider zu wenig Informationen deiner Infrastruktur.

Share this post


Link to post
Share on other sites

Moin,

 

das kann man steuern. Ein üblicher Weg ist, solche internen Zertifikate einfach "auslaufen" zu lassen. Das setzt voraus, dass mindestens ein CRL-Pfad, der im Zertifikat benannt ist, erreichbar ist, bis das letzte Zertifikat abläuft oder nicht mehr genutzt wird. Dazu braucht man nicht die ganze CA, sondern nur den Web- oder Dateipfad.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Oder du bestückst die Clients parallel schon mit dem neuen Root-CA Zertifikat und stellst dann nach und nach die internen Webserver um.

 

Wenn du die Sperrlisten der alten CA offline nimmst, kriegen die Clients verständlicherweise Zertifikatswarnungen. Das ist definitiv nicht zu empfehlen.

Share this post


Link to post
Share on other sites

Also wäre es doch besser eine neue CA zu installieren - wenn es nicht so viele selbst signierte Zertifikate gibt. Gibt es denn für die Installation einer 2. CA auch ein Anleitung oder ist Installation genauso wie die erste CA?

Share this post


Link to post
Share on other sites

Ich hoffe nicht, dass du die neue CA auf dem DC, wie die erste CA installierst sondern auf einer eigenen Maschine.

Wie du die CA installierst kommt auf die Anforderungen an die CA an.

Share this post


Link to post
Share on other sites

Nö, die neue CA wird auf einem dedizierte Windows Server2012R2 installiert.

Es gibt eigentlich keine speziellen Anforderungen. Die Zertifikate die ausgestellt sind, sind nur WEBSERVER Zertifikate.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...