Jump to content

Neue Zertifizierungsstelle, Zertifikatsvorlage noch auf altem Server? Wie umiehen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hey zusammen,

ich hatte auf einem AD-Controller zugleich meine CA.

Leider war die, warum auch immer, auf zwei Jahre begrenzt und würde demnächst ablaufen.

Da es keine untergeordnet CA war konnte das Zertifikat auch nich verlängert werden.

Daher habe ich eine neue CA auf einem anderen DC installiert und diese Zertifikate ausstellen lassen.

Alle Systeme haben mittlerweile per GPO die neuen Zertifikate erhalten und ich habe die bisherige CA deinstalliert.

 

Nun musste ich aber heute in die Zertifikatvorlagen schauen, habe dazu eine mmc geöffnet und sehe noch den alten Server als Quelle drinstehen.
Das ist natürlich nicht im Sinn des Erfinders, die würde ich gerne mitnehmen auf den anderen Server um keine unnötige Abhängigkeit zu schaffen.

Wie mache ich dies bzw. was hätte ich anders machen können?

 

Vielen Dank.

 

 

Gruß

 

 

 

Link zu diesem Kommentar
vor 3 Minuten schrieb MaikHSW:

Da es keine untergeordnet CA war konnte das Zertifikat auch nich verlängert werden.

Auch bei einer Root ca kann man das Zertifikat ersetzen. ;) und cas haben nichts auf einem Dc verloren. Wenn das beides Enterprise cas waren, ist es doch normal, dass man die zertifikatsvorlagen auf allen sieht. Sind ja ad integriert. 

Link zu diesem Kommentar

Hey zusammen.

@Nobbyaushb: Also im Tatendrang mal wieder alles falsch gemacht? :-P Na super.

@NorbertFe: Na toll. Mehrere Leute (unter anderem große Dienstleister) haben mir gesagt, das nicht. Verlässt man sich einmal auf Dienstleister....  Nee, ich sehe sie eben nicht auf allen. Wenn ich die mmc öffne und das Snap-In Vorlagen hinzufüge sehe ich nur den einen AD-Controller. Somit glaube ich, dass das noch ein Überbleibsel ist. Notfalls lebe ich halt (erstmal) mit der Verbindung und dokumentiere sie ordentlich.

 

 

Gruß

 

Link zu diesem Kommentar

Hey @NorbertFe,

ich bin noch auf der Suche nach einem guten Dienstleister.

Für andere Teilbereiche konnte ich schon jemanden hier im Forum finden und bin super zufrieden.

Leider habe ich da echt auf das falsche Pferd gesetzt und hätte ich das gewusst....

Vielen Dank für den Link, ich mag mich da auch tiefer einarbeiten.

Weil sowas sollte nur einmal passieren :-)

 

 

Gruß

Link zu diesem Kommentar

Moin,

 

also, ich wüsste jemanden, der sich recht intensiv mit Windows-PKI befasst ...

 

Aber vermutlich ist das nur ein Verständnisproblem. Die Vorlagen bei einer Enterprise-CA zwar im AD veröffentlicht, aber  dadurch stehen sie noch nicht auf einem konkreten CA-Server zur Verfügung. Du musst die Vorlagen, die deine CA tatsächlich anbieten soll, zuerst dort aktivieren.

 

Eine CA installiert man nicht auf einem DC. Die Empfehlung gilt schon seit bald 20 Jahren.

 

Gruß, Nils

PS. Es gibt neben einigen Leuten hier im Board, die das können ;) auch ein gutes Buch zum Thema bei Rheinwerk.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...