Zertifizierungsstelle - Register Kryptografie bei Templates nicht anwählbar

[wznutzer 32]

Hallo,

 

für einen ausschließlich intern von Domänen-Clients genutzten IIS wollte ich ein Zertifikat ausstellen. Das klappt soweit auch, nur hat das Zertifikat der Standardvorlage (Webserver) eine Schlüssellänge von nur 1024. Das mögen nun die Browser nicht. Die Zertifizierungsstelle wurde immer wieder migriert. Wenn ich nun das Template dupliziere um Anpassungen vorzunehmen hängt sich die ganze MMC auf, sobald ich beim duplizierten Template das Register Kryptografie anwähle. Auch nach einer Wartezeit von über einer Stunde ändert sich nicht. In den Eventlogs wird nichts protokolliert. Auffällig ist noch, dass der Dienst Zertifikatverteilung (CertPropSvc) sich nicht beenden / neu starten lässt. In meiner Testumgebung geht das.

 

Kenn das jemand von euch?

 

Danke

[NorbertFe 1.805]

vor 1 Minute schrieb wznutzer:

Kenn das jemand von euch?

 

 

Nein, und je nachdem wie die "migriert" wurde, könnte man ggf. über eine Neuinstallation mit Datenübernahme reden?

[wznutzer 32]

vor 6 Minuten schrieb NorbertFe:

könnte man ggf. über eine Neuinstallation mit Datenübernahme reden?

Ja, aber wäre der Ablauf anders als bei der Übernahme vom W2K12R2?

 

• Zertifizierungsstelle sichern inkl. privatem Schlüssel und Zertifizierungsstellenzertifikat
• Registry-Key sichern: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration
  hier beschrieben: https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/move-certification-authority-to-another-server
• Zertifizierungsstelle deinstallieren
• Dann Zertifizierungsstelle wieder installieren (jetzt auf dem gleichen Server, bei der Migration auf einem neuen)
• Zertifikatedienst beenden
• Registry-Key importieren (hat sich der Name geändert CaServerName vorher anpassen)
• Nun mit der Assistent das Backup wiederherstellen
• Server neu starten

Müsste ich irgendwas anders machen?

 

Danke

 

[NorbertFe 1.805]

vor 9 Minuten schrieb wznutzer:

Ja, aber wäre der Ablauf anders als bei der Übernahme vom W2K12R2?

 

Nein, aber da du oben nur Migration geschrieben hast, könnte das ja auch einfach ein Inplace Update gewesen sein.

 

Wer den Namen der CA ändert, sollte vorher genau wissen, welche Auswirkungen das haben kann.

Insofern würde ich im Worst Case einfach die ganze CA entsorgen und eine neue aufsetzen. Da kann man dann sicherlich auch gleich nach best practises vorgehen. ;)

 

Bye

Norbert

[testperson 1.534]

Hi,

 

für den einen IIS eine CA? Kannst du nicht eine Host-Zone mit "routbarem" FQDN bei euch im "internen" DNS anlegen und dir dann per Let's Encrypt oder von einer anderen CA ein öffentlichen Zertifikat organisieren?

 

Gruß

Jan

[wznutzer 32]

vor 5 Minuten schrieb NorbertFe:

Wer den Namen der CA ändert, sollte vorher genau wissen, welche Auswirkungen das haben kann.

Die CA heißt noch gleich, aber der Server auf dem die CA läuft hat einen anderen Namen. Weil Microsoft das so beschrieben hat, dachte ich, das sei kein Problem 

vor 7 Minuten schrieb testperson:

für den einen IIS eine CA? Kannst du nicht eine Host-Zone mit "routbarem" FQDN bei euch im "internen" DNS anlegen und dir dann per Let's Encrypt oder von einer anderen CA ein öffentlichen Zertifikat organisieren?

Das ist Plan B um den IIS schnell zum Laufen zu bringen. Aber eine kaputte CA will ich auch nicht dauerhaft haben. Es sind halt EFS-Zertifikate ausgestellt, deswegen habe ich die migriert und nicht einfach weggeworfen.

[NorbertFe 1.805]

vor 5 Minuten schrieb wznutzer:

Die CA heißt noch gleich, aber der Server auf dem die CA läuft hat einen anderen Namen.

Hmm, und gibt dir das zu denken? ;) Falls nein, dann nochmal genau nachlesen. Da ich nicht genau weiß, wie deine Konfiguration aussieht, kann es jetzt damit Probleme geben, oder eben auch nicht. Hängt halt mit den CRLs und AIA usw. zusammen, die per Default den Hostnamen beinhalten.

 

Zitat

Before joining the destination server to the domain, change the computer name to the same name as the source server. Then complete the procedure to join the destination server to the domain.

 

bearbeitet 2. Oktober 2023 von NorbertFe

[wznutzer 32]

Oh shit... Ich habe mich darauf verlassen und das eher als Empfehlung gesehen

https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/move-certification-authority-to-another-server

[NorbertFe 1.805]

Hmmm, Hinweis oben und Wichtig unten widersprechen sich in meinen Augen. Ich meine es geht irgendwie das Ding umzubenennen, aber da NIEMAND vorher über die Konsequenzen nachdenkt, empfehle ich es nicht zu tun, und ggf. wie jetzt einfach eine neue CA hochzuziehen, die man dann gleich korrekt benennen kann. ;)

[wznutzer 32]

vor 8 Minuten schrieb NorbertFe:

empfehle ich es nicht zu tun, und ggf. wie jetzt einfach eine neue CA hochzuziehen, die man dann gleich korrekt benennen kann. ;)

Das wird wohl das Beste sein. Die DCs holen sich ja automatisch Zertifikate. Lassen sich die EFS-Zertifikate der Nutzer übernehmen, wobei alle mit denen ich gesprochen habe, ist nicht bewusst, dass sie jemals eine Verschlüsselung verwendet haben.

[NorbertFe 1.805]

vor 1 Minute schrieb wznutzer:

Die DCs holen sich ja automatisch Zertifikate.

Ja, aber per hardcoded routine auch nur die von der nicht mehr zur Verwendung empfohlenen Vorlage "Domain Controllers". Empfohlen ist die Vorlage "Kerberos Authentication" zu verwenden, und damit die dann automatisch funktioniert, muss man den DCs auch das Certificate Enrollment beibringen.

 

vor 2 Minuten schrieb wznutzer:

Lassen sich die EFS-Zertifikate der Nutzer übernehmen,

Nein. Und wer bei gewünschter NICHT-Verwendung EFS immer noch nicht verboten hat, hats wohl auch nicht anders verdient. ;) Schau halt in deiner alten CA nach, wieviele EFS Zertifikate ausgestellt wurden, und wann die ablaufen. Wenn da nix aktuelles mehr dabei ist, ist die Chance recht hoch, dass es kaum/keiner verwendet.

 

Bye

Norbert

[wznutzer 32]

vor 8 Minuten schrieb NorbertFe:

Und wer bei gewünschter NICHT-Verwendung EFS immer noch nicht verboten hat, hats wohl auch nicht anders verdient.

Ich weiß .

vor 9 Minuten schrieb NorbertFe:

Wenn da nix aktuelles mehr dabei ist, ist die Chance recht hoch, dass es kaum/keiner verwendet.

Das seltsame ist ja, dass fast alle Zertifikate munter erneuert werden, aber niemandem bewusst ist, dass das verwendet wird. Ich bin selber dabei und ich weiß ganz genau, dass ich das nicht verwende .

[NorbertFe 1.805]

:) Tjo, dann würd ich mir mal die Policies hinsichtlich EFS anschauen. Irgendwo müssen die ja herkommen (die Zertifikate).

[wznutzer 32]

Bezüglich des Problems des Hängenbleibens: Nachdem ich die Vorlage und das Register Kryptografie einmalig ohne Netzwerkverbindung angewählt habe, ist das Problem verschwunden. Seltsam, aber der Rest scheint zu funktionieren. Aber bei Gelegenheit komplett neu machen um dann ganz sicher nie wieder dran denken zu müssen ist bestimmt besser.