Jump to content
Ralph_S

Ablösung einer bestehenden CA durch neue CA

Recommended Posts

Guten Morgen zusammen, 

 

Ich hab mal eine Frage an die Zertifikatsspezialisten vom Board, und hoffe auf etwas Schwarmwissen und Erfahrung. Mit dem Thema CA und den verschiedenen Hierarchien etc. bin ich vertraut. Ich hab gerade nur die Frage wie man eine bestehende CA ( AD-Integrierte RootCA die absolut Standard installiert ist) durch eine neue PKI Infrastruktur ablöst. Es soll dannach eine Eigenständige Offline RootCA + AD-Integrierte SubCA implementiert werden. 

 

Für mich ist der einzige Sinnvolle Weg eine neuinstallation. Nur ist mir nicht ganz klar wie man hier den Brak zur alten sinnvoll vollzieht. 

 

Also die neue Paralell aufbauen oder die alte zu erste sauber decomissionieren und dann die neue installieren? 

Wie verhält sich das mit den Zertifikaten der alten wenn man Paralell aufbaut?

 

Aktuell werden Zertifikate für folgende Zwecke verwendet: Webserver, WLAN und LAN Zugriff, 2 Applikationsserver, 

 

Am meisten beschäftigt mich die Thematik des Netzwerkzugriffs beim wechseln der CAs. 

 

Falls jemand einen Artikel dazu kennt den ich übersehen habe gern einfach her damit. Aber die meisten How Tos die ich kenne gehen immer nur vom neuinstallieren aus aber nie von einer Ablösung einer bestehenden CA. 

 

Mir gehts auch nicht um ein volles How to eher um einen Denkanstoss 

 

Viele Grüße

Share this post


Link to post
Share on other sites

Moin,

 

"das kommt drauf an" ... ;)

 

Meist macht man es so:

  • Prüfen, welche Zertifikate der Alt-CA aktiv in Verwendung sind
  • Aufbauen einer neuen CA, hier: Offline-Root (Standalone) und Enterprise-Sub, neuer Name usw., also ganz neue Struktur
  • neue CA fertig konfigurieren und in Betrieb nehmen
  • auf der alten CA die Zertifikatsvorlagen deaktivieren, sodass sie keine neuen Zertifikate mehr ausstellt
  • bei Bedarf die Zertifikate der alten CA auf den Zielsystemen entfernen und neue von der neuen CA zuweisen, die Altzertifikate dann sperren
  • wenn keine Alt-Zertifikate mehr in Verwendung sind, die Alt-CA entfernen

Solange die Alt-CA noch gebraucht wird, bleibt sie in Betrieb, stellt aber keine neuen Zertifikate aus. Solange muss sie ihre Sperrlisten usw. noch aktualisieren und anbieten.

 

Wenn die Umgebung komplexer ist, kann das Verfahren ungeeignet sein, in kleinen und mittleren Umgebungen passt es aber meist.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Hier gibt es doch Anleitungen:

https://blogs.technet.microsoft.com/canitpro/2014/11/11/step-by-step-migrating-the-active-directory-certificate-service-from-windows-server-2003-to-2012-r2/

 

Einziges Problem kann der Hostname für den Abruf der CRL sein. Hier gilt und alt die Empfehlung mit einem DNS-Alias zu arbeiten, den man später nur neu umbiegen muss.

Notfalls richtet man den alten Servernamen als DNS-Alias  ein.

Share this post


Link to post
Share on other sites

Danke an euch beide für die schnellen Antworten! 

 

@NilsK Das klingt wonach ich gesucht habe, wo mir der Denkanstoss gefehlt hat. Also die alte laufen lassen und die neue parallel betreiben und dann Stück für Stück die alte ausser Betrieb nehmen. 

 

@Zahni Der Weg wie ich eine CA von einer Windows Version auf eine neue Migriere war mir klar, aber ich kann das ja nicht nutzen um von einer Enterprise RootCA auf eine Standalone RootCA zu migrieren jedenfalls war es mir wenn es doch geht nicht klar. Zumal ich dann ja eine Standalone CA habe die, alle aktuell ausgestellten Zertifikate hat da würde es wenig Sinn machen diese offline zu nehmen oder seh ich grade den Wald vor Bäumen nicht?

Share this post


Link to post
Share on other sites

Die Empfehlung kann ich ja nachvollziehen, aber wie Nils schon schrieb, müssen ja beide (oder drei) CAs ihre CRL publishen und dann ists im Endeffekt egal, ob man das an einem Ort oder an mehreren tut. Planen muss man es so oder so. Erfahrungsgemäß ist Schritt 1 und Schritt 5 aus Nils Aufzählung am zeitaufwändigsten, wenn man nicht nur Windows Systeme hat. Sobald aber Hardwarekomponenten (DELL, Cisco, HP) oder Linux und diverse Appliances dazukommen, die man alle händisch mit neuen Zertifikaten betanken muß, wird das leicht eine Laufzeit von über 12 Monaten, selbst in Umgebungen von nur 100 Usern.

 

Bye

Norbert

Share this post


Link to post
Share on other sites

Moin,

 

ja, das ist das, was ich mit meinem ersten Satz meinte. ;)

Vielleicht muss man migrieren, vielleicht auch nicht. Das kann man aus der Ferne schlecht beurteilen. Aus Erfahrung kann ich nur sagen, dass man in mittelständischen Umgebungen fast nie migriert und in größeren nur manchmal.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

Werbepartner:



×
×
  • Create New...