Jump to content

Zertifizierungsstelle - DC Dekomission


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

auf einem Domain-Controller ist die Zertifizierungsstelle installiert. Dieser DC soll nun aber heruntergestuft und abgeschaltet werden.

Ich kann mir nicht erklären, wofür diese Zertifizierungsstelle im Unternehmen benötigt wird und gehe davon erstmal von einer Testinstallation vom Vorgänger aus.

 

Im Bereich "Ausgestellte Zertifikate" sehe ich allerdings Zertifikat vom Typ Domänencontroller, wo ich mir nun unsicher bin, ob ich diese CA direkt entfernen darf oder nicht auch auf

einen anderen DC/Server migrieren sollte?

 

grafik.thumb.png.4259f247f1d8be27cb4a84db7189decb.png

Link zu diesem Kommentar

Moin,

 

wenn die DC-Zertifikate die einzigen sind, die dort ausgestellt wurden, kannst du die CA im Prinzip einfach löschen. Domänencontroller besorgen sich automatisch Zertifikate von einer Enterprise CA, sobald sie diese im AD finden. In dem Fall solltest du natürlich die betreffenden Zertifikate von den DCs löschen, bevor du die CA entfernst, denn sonst werden die DCs Fehler melden, weil sie die Gültigkeit der Zertifikate nicht überprüfen können.

 

Im Hinblick auf diverse Sicherheitseinstellungen im eigenen Netzwerk, insbesondere für DCs, könnte es allerdings sinnvoll sein, auch künftig eine PKI zu betreiben. Es gibt ja möglicherweise auch interne Web-Applikationen, die per TLS abzusichern wären (und seien es nur Adminzugänge). Dann allerdings rate ich dazu, eine PKI nach Best Practice zu entwerfen und aufzubauen, bevor die alte entfernt wird. Eine Migration der alten CA sehe ich als unnötig an, wenn sie wirklich nur die oben genannten Zertifikate ausgestellt hat. Zum Entfernen der Alt-PKI beachte, dass diese auch aus dem AD gelöscht werden sollte, Anleitungen dazu findest du im Web.

 

Vorsichtshalber sei noch mal ausdrücklich erwähnt, dass man eine CA nicht auf einem DC installiert. 

 

Gruß, Nils

PS. wie viele DCs habt ihr denn, dass da laufend neue Zertifikate ausgestellt werden?

 

bearbeitet von NilsK
Link zu diesem Kommentar

Hallo Nils,

 

danke für die ausführliche Antwort. Ich habe noch einmal geschaut, welcher Arten von Zertifikaten ausgestellt sind. Dabei handelt es sich zum Großteil um die Domänencontrollerzertifikate und außerdem um Zertifikate vom Typ Basis-EFS, Codesignatur (aber alt).

Wenn ich die CA aber lösche, existiert ja keine weitere CA im Netzwerk, also auch keine Enterprise CA. Oder wo kommen die dann genau her?

Link zu diesem Kommentar

Abgesehen davon bedeutet das aber auch, dass ab dem Zeitpunkt der Deinstallation der CA dann auch kein LDAPS mehr möglich sein wird (spätestens nach Ablauf der derzeitigen Zertifikate). Und ich seh da auch Basis EFS Zertifikate. ;)

vor 1 Minute schrieb Garant:

Oder wo kommen die dann genau her?

Wer? Ohne CA keine Zertifikate.

Link zu diesem Kommentar

Moin,

 

wenn du nur den CA-Server löschst oder abschaltest, bleiben die Einträge dazu im AD erhalten. Daher der Verweis auf die Anleitungen. Eine Enterprise CA ist in der AD-Konfiguration eingetragen.

 

Edit: Natürlich ist vor dem Löschen zu prüfen, ob die ausgestellten Zertifikate tatsächlich nicht mehr gebraucht werden. Siehe Norberts Hinweis und das, was ich dazu schrob. "Zum Großteil" finde ich da eine etwas unvollständige Einschätzung. Bevor du auf der Basis Schaden anrichtest, hol dir lieber jemanden, der das mit dir migriert bzw. ein Vorgehen zur Ablösung entwirft.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar
vor 8 Minuten schrieb NilsK:

PS. wie viele DCs habt ihr denn, dass da laufend neue Zertifikate ausgestellt werden?

 

 

11 Stück

vor 2 Minuten schrieb NorbertFe:

Abgesehen davon bedeutet das aber auch, dass ab dem Zeitpunkt der Deinstallation der CA dann auch kein LDAPS mehr möglich sein wird (spätestens nach Ablauf der derzeitigen Zertifikate). Und ich seh da auch Basis EFS Zertifikate. ;)

 

Die EFS-Zertifikate habe ich auch gesehen. Nutzen aber kein Encryption File System.

Link zu diesem Kommentar
Gerade eben schrieb NorbertFe:

Dann dürften auch keine Zertifikate da sein. Der Antragsteller (steht ja im Zertifikat) hat aber mal EFS angehakt. Du kannst also nicht ausschließen, dass es EFS verschlüsselte Datenbestände gibt. ;) Also nicht so absolut verneinen.

Der Antragssteller bei den Basis-EFS-Zertifikaten bin unter anderem ich und zwei Benutzer, wo ich es mir noch weniger vorstellen kann. Kann dies evtl. auch durch Drittherstellersoftware kommen?

Link zu diesem Kommentar
vor 1 Minute schrieb Garant:

wo ich es mir noch weniger vorstellen kann. Kann dies evtl. auch durch Drittherstellersoftware kommen?

Nein. Und warum ist das so schwer vorstellbar? Es reicht den Haken "Datei verschlüsseln" zu setzen. Das kann fast jeder Nutzer. Abgesehen davon war das nur ein Hinweis, dass man ggf. drauf achten sollte, denn einen Zweck haben die meisten Zertifikate. Auch wenn er sich vielen nicht erschließen mag. :)

bearbeitet von NorbertFe
Link zu diesem Kommentar
Gerade eben schrieb Garant:

Kann ich irgendwo nachvollziehen, wo eine Datei damit versehen wurde?

Eher nein. :) Mittels cipher kann man durchgehen, aber da müßtest du dann schon jeden PC (an dem diese Nutzer mal gesessen haben) und ggf. auch die Fileserver durchflöhen.

https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/cipher

Link zu diesem Kommentar

Moin,

 

nicht ohne Weiteres, nein. Das müsstest du dir auf den Rechnern ansehen, an denen die drei User arbeiten. Wenn ihr EFS nicht nutzt, solltet ihr es ausdrücklich abschalten, sonst erzeugt ihr damit Probleme.

 

Ad hoc würde es aber auch ausreichen, dass die drei User, um die es geht, ihre EFS-Zertifikate vorsichtshalber exportieren (mit Private Key). Damit wäre es im Notfall möglich, Dateien wieder zu entschlüsseln.

 

Gruß, Nils

 

Link zu diesem Kommentar
Gerade eben schrieb NorbertFe:

Eher nein. :) Mittels cipher kann man durchgehen, aber da müßtest du dann schon jeden PC (an dem diese Nutzer mal gesessen haben) und ggf. auch die Fileserver durchflöhen.

https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/cipher

Hmmm. Ok. :)
Das Ablaufdatum ist allerdings nur bei meinem pers. Konto erst im nächsten Jahr, die anderen Basis-EFS Zertifikate sind schon abgelaufen. Von daher würde ich hier eher sagen, dass das auch vernachlässigt werden kann?

Gesehen hab ich übrigens noch zwei Webserver-Zertifikate für Exchange. Für den IIS wurden da mal welche generiert.

Link zu diesem Kommentar

Moin,

 

okay - dann hast du jetzt hoffentlich gelernt, dass man bei so einem System genauer hinsehen sollte. Deine bisherigen Aussagen zur Nutzung waren dann ja nicht ganz korrekt.

 

Ich empfehle daher, dass du dir jemanden ins Haus holst, der sich mit der Thematik auskennt, und mit dem ein Vorgehen entwickelst. Das ist kein Hexenwerk, erfordert aber mehr Detailarbeit, als es in einem Forum sinnvoll ist. (Gerechnet in wenigen Tagen, nur damit du eine Größenordnung hast.)

 

Gruß, Nils

PS. 11 DCs? Wie groß ist denn die Umgebung? Falls sie wirklich so groß ist, dass ihr 11 DCs braucht, dann ziehe ich meine Ersteinschätzung ausdrücklich zurück und rate entschieden dazu, dass ihr euch Know-how ins Haus holt.

 

bearbeitet von NilsK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...