Jump to content

2008R2 DC - Zertifizierungsstellenzertifikat / DC läuft ab - Problem beim erneuern?!


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

 

 

ich bin gerade beim Vorbereiten einer Migration auf einen 2008R2 DC (alleiniger DC) auf ein paar Probleme gestoßen...

 

Im Servermanager sehe ich unter den Active Directory-Zertifikatdiensten, dass der Zertifizierungsstellenzertifikat 

in wenigen Tagen abläuft. Ebenso der AIA-Speicherort #1 (das sagt mir jetzt nichts)

 

Das Zertifikat wurde vom Datum her vermutlich beim letzten Updaten von 2003 auf 2008

erzeugt - mit der Laufzeit von 5 Jahren.

 

Ich sehe unter den Fehlgeschlagenen Anforderungen

"ID - 13

 

Der Erneuerungszeitraum ist länger als der Gültigkeitszeitraum des Zertifikats. Die Vorlage oder das CA Zertifikat sollten neu

konfiguriert werden. 0x80094814 (-2146875372)

 

Verweigert vom Richtlinienmodul

 

Datum: Vor 10 Tagen

 

Zertifikatsvorlage: Domänencontroller"

 

 

 

Ich hätte jetzt mal selbst google bemüht... Kann es sein, dass das Problem war - dass normal neue Zertifikate nicht so lange laufen dürfen?

 

Ich hätte jetzt mal mit:

 

certutil rum gespielt. Aber die Verlängerung hier klappt auch nicht. (certutil -resubmit)

 

 

Die alte Anforderung kann ich auch nicht irgendwie löschen - oder auch nicht das vorhandene verlängern :(

 

 

Hat jemand einen Tipp was ich machen könnte? Ich hatte bisher mit dem Thema noch nie Probleme.

Welche Folgen hätte es in dem Fall überhaupt, wenn das ganze abläuft?

 

 

 

Besten Dank für jede Hilfe

 

 

viele Grüße

 

 

 

 

Link zu diesem Kommentar

Guten Morgen,

 

also so wie ich die Zuordnung sehe (Screenshot) ist das Zertifikat eh nicht in Verwendung?

 

Auf das AD oder sonst was könnte das Neuinstallieren keine negativen Auswirkungen haben? Das Zertifikat mit den selben Daten nach dem Ablauf zu verlängern wäre ja vermutlich schwierig.

 

Wobei der Server eh durch einen aktuellen 2016DC ersetzt wird - da könnte man das ganze auch einfach

laufen lassen um sich die Mühen zu sparen.

 

Besten DANK!

 

viele Grüße

post-55749-0-54510000-1514444421_thumb.jpg

Link zu diesem Kommentar

Moin,

 

die Ansicht, die du gepostet hast, sagt hier nichts aus. Schau in der CA-Konsole nach, welche Zertifikate die CA tatsächlich ausgestellt hat. Wie Jan vermute ich auch, dass die CA in Wirklichkeit gar nicht benötigt wird. Dann wäre es am einfachsten, die CA-Dienste zu deaktivieren und die CA nicht zu migrieren.

 

Und, ebenfalls wie Jan sagt, wenn du dann doch eine neue CA brauchst, dann lass dir diese richtig konzipieren und installiere sie auf einem separaten Server (bzw. mehreren).

 

Gruß, Nils

Link zu diesem Kommentar

Guten Morgen,

 

 

Also ich vermute das ja auch - aber wäre beruhigter, wenn mir diese Vermutung jemand bestätigen könnte.

Es werden in der Firma weder Smartcards, EFS, IPSec mit den Zertifikaten, Email Verschlüsselung usw. verwendet.

 

Das einzige Zertifikat, das meines Wissens überhaupt da aktiv läuft ist das vom Exchange Server.

 

Ich habe mal noch einen neuen Screen angefügt - ich hoffe, damit kann man mehr anfangen?

Sonst reiche ich natürlich jede nötige Info nach, ich bin ja super froh, wenn mir jemand weiterhelfen kann.

 

Nochmals Danke und viele Grüße

 

 

 

 

post-55749-0-89616000-1514528217_thumb.jpg

post-55749-0-48115300-1514528472_thumb.jpg

bearbeitet von holzapfel
Link zu diesem Kommentar

Nein. Vor vielen vielen Jahren ist da nur mal von 2003 auf 2008R2 upgedatet worden. Oben habe ich das leider falsch geschrieben - jetzt soll

auf 2016 upgedatet werden :)

 

Das Exchange Zertifikat ist schon von Extern - wurde aber ja auf/für die Exchange-Dienste / IIS auf dem Exchange Server ja ausgestellt.

 

Vielen Dank für die Hilfe an alle - jetzt kann ich wieder beruhigt am Test des Updates weiter arbeiten!

Link zu diesem Kommentar

Moin,

 

wenn der DC kein Zertifikat von einer CA bekommt, dann gibt es kein LDAPS. Selbstsigniert wäre unsinnig, dem kann ja kein Client ohne Weiteres vertrauen.

 

Die tatsächliche Entscheidung, ob die CA (vorläufig) wegkann, können wir dem TO nicht abnehmen. Wir können nur Hinweise geben, die aufgrund von Forumsinformationen auch nicht umfassend oder vollständig sein können. Es steht dem TO ja frei, sich kompetente Beratung einzukaufen, wenn er konzeptionell begründet vorgehen will.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...