Jump to content
Abacus08

Stammzertifizierungsstelle - Migration

Recommended Posts

Hallo Zusammen,

 

ich plane unsere Stammzertifizierungsstelle (Basis: Windows 2008r2) auf Windows 2019 zu migrieren.

 

Wir haben aber eine Root-CA und eine SUB-CA. Alle Infos, die ich bisher finden konnte, bezogen sich auf eine "reine" Root-CA.

Leider ist mir nicht ganz klar, ob ich erst die Root-CA oder erst SUB-CA migrieren sollte/muss und hoffe auf Eure Unterstützung.

Hat einer von Euch so eine Migration schon einmal durchgeführt und kann mir ein paar Tipps geben?

 

Gruß

Willi

 

 

Share this post


Link to post

Moin,

 

wenn die Signierfunktion bei beiden CAs bereits auf SHA256 oder höher upgedated wurde und es Dir um das reine Betriebssystem-Upgrade geht, ist es wurscht, in welcher Reihenfolge Du das machst. Ich würde immer mit der Root anfangen, aber das wäre in diesem Fall keinem technischen Grund geschuldet, sondern der Gewohnheit.

 

Falls die Issuing CA kurzlebige Zertifikate per Autoenrollment ausstellt (Stichwort 802.1X) solltest Du die Downtime für diesen Anwendungsfall ankündigen, denn Deine Migration wird viel geschmeidiger, wenn die 2019er Maschinen die Computernamen der alten Server erben.

  • Like 1

Share this post


Link to post
vor 4 Minuten schrieb Dukel:

Oder man nutzt einen Alias (ab jetzt, wenn noch nicht passiert) für die Server.

Das musst Du jetzt bitte erklären. Die Config ist doch trotzdem an den Maschinennamen gebunden und muss umgeschrieben werden, wenn sich dieser ändert...

Share this post


Link to post

Moin,

 

man könnte bzw. sollte in der Situation auch prüfen, ob eine Migration überhaupt sinnvoll ist oder ob man die bestehende CA auslaufen lässt und durch eine neue ersetzt. Je nachdem, wie "gut" das derzeitige Konstrukt entworfen, eingerichtet und gepflegt ist, kann der Neuaufbau durchaus sinnvoller sein. Das hängt allerdings von einer Reihe von Faktoren ab, die man in einem Forum nicht behandeln will.

 

Wenn es tatsächlich nur um eine Migration "von Server zu Server" geht, ist das eigentlich ein simpler Vorgang, der bei Microsoft auch gut dokumentiert ist.

 

Gruß, Nils

 

Edited by NilsK
Ja, ich heiße Nils, nicht Niös. *lol*
  • Like 2

Share this post


Link to post

 

Bin leider erst heute wieder online. :sauer2: Deshalb erst jetzt meine Reaktion.

Danke für die informativen Rückmeldungen

Dann sollte es hoffentlich kein "Problem" geben.

 

Vielen Dank

Willi

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...