Jump to content
Facerolleye

Migration Zertifizierungsstelle

Recommended Posts

Hallo!


Wir haben momentan auf einem Win2008r2 Domain Controller unsere Stammzertifikatsstelle zu liegen.
Dieser soll allerdings demnächst durch einen Win2019 Domain Controller abgelöst werden.

Nun ist eig. bereits alles soweit "umgezogen" mit Ausnahme der Zertifizierungsstelle.

Leider hab ich mich noch nicht all zu viel mit dem ganzen beschäftigt, aber ich habe blöderweise auf dem neuen 2019 Server bereits die Zertifizierungsstelle installiert (vom 2008 exportiert etc.) und als untergeordnete Zertifizierungsstelle hinzugefügt.

Das war meiner Meinung nach eine blöde Idee, weil ich die Zertifizierungsstelle ja sowieso komplett ablösen möchte.


Stellt sich halt nun für mich gerade die Frage, wie gehe ich das an.

Vorallem, wenn ich die Stammzertifizierungsstelle auf dem 2008 Server deinstalliere, übernimmt dann der 2019 Server diese Rolle?
und wie sieht das aus, wenn ich die untergeordnete Zertifizierungsstelle auf dem 2019 Server wieder deinstalliere? was kann das für Folgen haben?

Googlen hat mir leider nicht viel gebracht bei diesen Fragen, deshalb versuche ich es hier mal :)


 

Share this post


Link to post
Share on other sites

Moin,

 

wozu wird die CA denn genutzt? In den meisten "kleineren" Umgebungen ist es gar nicht nötig, die CA aufwändig zu migrieren. Das hängt davon ab, was für Zertifikate sie denn ausstellt.

 

Den angefangenen Migrationsschritt solltest du vermutlich wieder rückgängig machen - so richtig habe ich aber nicht verstanden, was du da gemacht hast.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Derweil für vielerlei Dinge, 
Exchange, Radius, Webserer etc. 
Sind ein Unternehmen von c.A 80 Mitarbeitern und haben mir (als Werkstudent) die Aufgabe gegeben einen neuen DC aufzusetzen der eben diese Dienste übernimmt :-)

Deshalb fehlt mir momentan noch etwas das technische Know How in diesem Bereich.

"Den angefangenen Migrationsschritt" Welcher wird hier gemeint?
Wie gesagt, bisher habe ich die Zertifizierungsstelle aus dem alten Server exportiert (Key, Registry Eintrag, Datenbank) und in den neuen Server eingefügt. 

Share this post


Link to post
Share on other sites

Auf einem DC sollten nichts anderes ausser das AD (und DNS, DHCP) laufen.

Außerdem klingt das nach nur einem DC. Hier sollte man mindestens noch einen zweiten dazustellen.

 

Ist das ganze schon "Produktiv" oder erstmal in einer Testumgebung gemacht worden?

Oder andersrum gefragt. Wurde das in der "Testumgebung" gemacht und es gibt keine Produktive Umgebung ;)

Share this post


Link to post
Share on other sites
vor 8 Minuten schrieb Facerolleye:

Derweil für vielerlei Dinge, 
Exchange, Radius, Webserer etc. 
Sind ein Unternehmen von c.A 80 Mitarbeitern und haben mir (als Werkstudent) die Aufgabe gegeben einen neuen DC aufzusetzen der eben diese Dienste übernimmt :-)

Domänencotroller können meines Wissens seit Server 2016 keine CA mehr tragen und sollten sie auch nicht.

Seperate VM und gut.

Exchange? Dafür wird in der Regel ein externes Zertifikat verwendet.

 

Und - für sowas braucht es sorgfältige Planung...

Share this post


Link to post
Share on other sites

Moin,

vor 28 Minuten schrieb Facerolleye:

Exchange, Radius, Webserer etc. 

gut, das sind alles Dinge, die der Transportverschlüsselung dienen. Damit werden keine Daten dauerhaft verschlüsselt und abgelegt. In dem Fall würde ich mir die Migration sparen und eine neue PKI erzeugen.

  • Neue PKI entwerfen (ein- oder zweistufig); Details der Implementierung festlegen
  • Neue PKI auf separatem Server bzw. separaten Servern einrichten, nicht auf einem DC
  • Zertifikatsvorlagen auf der neuen Issuing CA bereitstellen
  • Zertifikatsvorlagen auf der alten CA deaktivieren, sodass von dort keine neuen Zertifikate ausgestellt werden
  • Zertifikate von der neuen CA neu anfordern und ausstellen lassen, die alten Zertifikate entfernen
  • Wenn keine Zertifikate von der alten CA mehr in Benutzung sind, alte CA geordnet deinstallieren
Zitat

"Den angefangenen Migrationsschritt" Welcher wird hier gemeint?
Wie gesagt, bisher habe ich die Zertifizierungsstelle aus dem alten Server exportiert (Key, Registry Eintrag, Datenbank) und in den neuen Server eingefügt. 

Genau. Das würde ich rückgängig machen. Da du anscheinend die so erzeugte CA falsch angelegt hast, wirst du sie ohnehin nicht verwenden wollen. Und, wie gesagt, nach deiner Beschreibung braucht es überhaupt keine Migration. 

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Hi,

 

bei "Exchange" und "Webserver" ggfs. noch prüfen, ob ein gekauftes Zertifikat einer öffentlichen Zertifizierungsstelle nicht der einfacherere und vielleicht auch bessere Weg ist.

 

Gruß

Jan

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb Dukel:

Außerdem klingt das nach nur einem DC.

 

Ist das ganze schon "Produktiv" oder erstmal in einer Testumgebung gemacht worden?

Oder andersrum gefragt. Wurde das in der "Testumgebung" gemacht und es gibt keine Produktive Umgebung ;)

zur 1 Sache:
Momentan haben wir 3 DCs, 2x WinServer2019 und 1x 2008r2
Auf dem 2008r2 laufen momentan Zertifikatsdienste, AD, DHCP, DNS und Netzwerk / Zugriffsdienste wo die Radius Auth. läuft.
Davon sind momentan schon alles außer eben der Zertifikatsdienst auf dem einen 2019er umgezogen.
Der zweite 2019er Server wurde lediglich für alternativen DNS Server erstellt, damit wir dort Ausfallsicherheit haben.

 



zur zweiten Sache:
Ja, ist alles schon produktiv und ich denke auch nicht, dass die anderen Admins es einsehen, das ich eine neue PKI entwerfe (Was sich für mich erstmal als sehr schwierig anhört, als dass ich es tun sollte)
Bisher lief alles so auf dem alten Server, weshalb sie es so einfach wie möglich, ebenfalls auf dem neuen ebenfalls zum laufen bringen möchten.

Der letzte Schritt wird die Herabstufung des 2008er DCs sein und die Heraufstufung der gesamt Domäne auf 2019 Stufe.

Share this post


Link to post
Share on other sites
vor 9 Minuten schrieb Facerolleye:

Der letzte Schritt wird die Herabstufung des 2008er DCs sein und die Heraufstufung der gesamt Domäne auf 2019 Stufe.

Wenn ein Exchange im Spiel ist (habe ich so gelesen..) aufpassen, welches der supportete Level ist.

Und wie schon geschrieben - meines Wissens kannst du die CA nicht mehr auf einem DC betreiben, :-)

Share this post


Link to post
Share on other sites

Moin,

 

vor 20 Stunden schrieb Facerolleye:

Ja, ist alles schon produktiv und ich denke auch nicht, dass die anderen Admins es einsehen, das ich eine neue PKI entwerfe (Was sich für mich erstmal als sehr schwierig anhört, als dass ich es tun sollte)
Bisher lief alles so auf dem alten Server, weshalb sie es so einfach wie möglich, ebenfalls auf dem neuen ebenfalls zum laufen bringen möchten.

mehr als empfehlen kann ich es nicht. Wenn man eine PKI nicht ordentlich macht, sollte man es besser ganz bleiben lassen. Das ist ein zentrales Sicherheitssystem. Eine Firewall würde man heute ja auch nicht mehr "irgendwie" einrichten.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...