Windows Server 2012 R2 CA umstellen auf sha2

[TheCracked 13]

Hallo Zusammen,

 

in einer Testumgebung wollte ich die interne CA von sha1 auf sha2 ändern.

Ich habe mich nach dieser "https://www.frankysweb.de/migration-stammzertifizierungsstelle-sha1-zu-sha256-hashalgorithmus/"Anleitung gehalten.

Jedoch wird immer noch der sha1 hashalgorithmus verwendet?? (Zertifizierungsstellenzertifikat zum test erneuert)

Dienst wurde schon neu gestartet...

 

Fehlt noch was?

 

 

Grüße

TC

[blub 115]

Hast du einen Provider eingetragen, der SHA256 kann?

 

z.B.

https://blogs.technet.microsoft.com/pki/2013/09/19/upgrade-certification-authority-to-sha256/

 

Es gibt aber noch mehr Provider, die SHA2 können.

[TheCracked 13]

Wo muss man den einen Provider eintragen?

Ich vermute es wird der von Microsoft genommen...

[NorbertFe 2.280]

Das kannst du in den Eigenschaften der CA nachlesen. Und Microsoft bietet mehrere. ;) Was steht denn bei dir über Hashalgorithmus als Anbieter?

 

Bye

Norbert

[TheCracked 13]

Microsoft Storage Cryptographic 

Sollte doch passen oder?

[Dunkelmann 96]

Moin,

 

Du benötigst einen KSP (Key Storage Provider) für die Migration auf SHA2

 

https://blogs.technet.microsoft.com/askds/2015/10/26/sha1-key-migration-to-sha256-for-a-two-tier-pki-hierarchy/

http://social.technet.microsoft.com/wiki/contents/articles/31296.implementing-sha-2-in-active-directory-certificate-services.aspx

[TheCracked 13]

Also hat im ersten Schritt erst mal funktioniert die Migration.

 

Aber...

 

In der Ereingisanzeige steht nun:

 

Ereignis-ID 75

Es konnte keine Delta-Zertifikatsperrliste für den Schlüssel 1 an folgendem Ort auf dem Server "dc01.test.local" veröffentlicht werden: ldap:///CN=test(1),CN=dc01,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=test,DC=local. Verzeichnisobjekt nicht gefunden. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).
ldap: 0x20: 0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of:
	'CN=dc01,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=test,DC=local'

Ereingis-ID 74

Es konnte keine Basis-Zertifikatsperrliste für den Schlüssel 1 an folgendem Ort auf dem Server "dc01.test.local" veröffentlicht werden: ldap:///CN=test(1),CN=dc01,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=test,DC=local. Verzeichnisobjekt nicht gefunden. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).
ldap: 0x20: 0000208D: NameErr: DSID-03100238, problem 2001 (NO_OBJECT), data 0, best match of:
	'CN=dc01,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=test,DC=local'

Ereignis-ID 66

Es konnte keine Delta-Zertifikatsperrliste für den Schlüssel 1 an folgendem Ort veröffentlicht werden: ldap:///CN=test(1),CN=dc01,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=test,DC=local. Vorgang abgebrochen 0x80004004 (-2147467260 E_ABORT).

Ich bin mir nicht sicher, wann der Fehler aufgetreten ist.

Möglich nachdem ich ein neues Rootzertifikat auf der CA erstellt habe.

 

Rechte auf die Ordner hat die CA.

Er sagt ja, dass das Objekt nicht gefunden wurde. Muss ich hier eins anlegen?

Unter "\\dc01\CertEnroll ist jedoch die test(1).crl enthalten..

Der Ordner ist auch im LDAP enthalten..

 

Grüße

TC

 

 

edit:

 

Ich habe nun im ADSI-Editor mal den Pfad nochmal angesehen.

Unter CN=CDP gibt es bei mir CN=test und CN=testold

Der testold ist der alte 2003 Server DC.. hier war auch früher die ca drauf.

 

Testweiße hab ich nun ein neues Root Zertifikat erstellt.. und siehe da es wird in dem "testold" erstellt und nicht im "CN=test"..

 

 

Wie bekomme ich das am besten gelöst?

bearbeitet 20. Juni 2016 von TheCracked