Jump to content

Snap-In für Zertifizierungsstelle (certsrv.msc) ist nach AD-Certificate Installation nicht vorhanden


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich wollte die CA von einem Windows Server 2012 R2 auf einen Windows Server 2019 umziehen.

Nachdem auf dem Windows Server 2019 die AD CA Dienste installiert sind (über install-WindowsFeature AD-Certificate), hatte ich angenommen, dass sich das Snap-In für Zertifizierungsstellen auswählen lassen würde. Leider ist dem nicht so. In %windir%/System32 finde ich auch keine certsrv.msc.

 

Was fehlt denn dafür noch?

pic1.png

pic2.png

pic3.png

pic4.png

bearbeitet von wise
Schreibfehler korrigiert
Link zu diesem Kommentar
Zitat

und warum machst du das nicht einfach übers GUI?

Weil ichs in der GUI nicht gefunden hab :frown:

 

Aber ich hab die Zertifikatsdienste jetzt noch mal deinstalliert und über die GUI installiert (die vorherige Installtion hatte ich mit besagtem install-windowsfeature ad-certificate vorgenommen). Und stimmt... da gibts dann den extra Haken zum installieren der Management Tools, den ich jetzt auch aktiviert hab.

 

und siehe da, jetzt sind sie auch da ;-)

 

Zitat

Ach, und: Wenn die neue CA sowieso noch nicht läuft, dann installier sie gleich auf einer separaten VM, nicht auf einem DC

Ist mir bewusst, dass man das so machen sollte. In diesem Fall werde ich es aber auf dem DC belassen, weil ich aus ressourcengründen dafür keine dedizierte VM nutzen wollte.

Wobei meine Frage an der Stelle noch wäre: Gilt diese Empfehlung vor allem aus Gründen ...

  1. der Sicherheit des DCs?
  2. oder mehr der Sicherheit der CA?
  3. oder überwiegend der Performance einer der beiden Dienste?
  4. Oder einfach nur aus Prinzip?

pic1.png

vor 13 Minuten schrieb Dukel:

Install-WindowsFeature kennt den Parameter "-IncludeManagementTools"

Wenn ich das bei der Installation vergessen hab, könnte ich das nachträglich damit einfach noch mal drüber bügeln? Jetzt frag ich nur noch aus Interesse, denn mein Problem hab ich mit der Neuinstallation über die GUI und dem entsprechenden Haken (also genau diese Option) ja bereits behoben...

Link zu diesem Kommentar

Moin,

 

Performance ist in aller Regel weder für einen DC noch für eine CA ein Thema. Es geht um Sicherheit für beide - weder auf einen DC noch auf eine CA gehört ein anderer Dienst. Beide sind angreifbar, das will man bei so kritischen Funktionen nicht noch kombinieren. Und einmal gemeinsam installiert, kann man weder das eine noch das andere hinterher entfernen. Eine CA lebt in der Regel deutlich länger als ein DC, da will man Abhängigkeiten tunlichst vermeiden.

 

Weitere prinzipielle Erwägungen zu Design und Sicherheit einer CA lasse ich hier mal aus. Leider sieht man in der freien Wildbahn fast nur schlecht gemachte PKIs.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...