tqsystem

Hallo olc, nun läufts. Das Rootzertifikat wird mit einer längeren Laufzeit ausgestellt. Vielen Dank für die Unterstützung. tqsystem

Hallo, das Update auf 2003 ist durch. Ich bin gerade mitten in der Migration und hänge an dem Ändern der Gültigkeitsdauer des ROOT- Certifikats. Du Schreibst, ich soll dazu die Policy.inf benützen Ich weiß nun, dass diese beim Installieren gezogen wird, wie kann ich die Eintragungen in der Policy.inf laden? Danke! tqsystem

Hallo OLC, ok wenn das funktioniert, sieht das etwas anders aus. Allerdings handelt es sich um einen Domänencontroller. Laut Migrationsbeschreibung sollte der 2000er Server erst auf 2003 upgedatet werden. Ist das Ratsam einen Domänencontroller einfach auf 2003 hochzuziehen? Viele Grüße Lothar

Hallo olc, Du schreibst ich soll ein neues root zertifikat ausstellen, dass eine längere Laufzeit hat. Das habe ich schon probiert, allerdings ist die Laufzeit immer 2 Jahre, das ist fest vorgegeben. ( Durch das Rootzertifikat bei der Ersteinrichtung.) In einer neu aufgezogenen CA kann ich längere Zeiten wählen. Mir geht es um 3 Dinge: - Verlängerung der Laufzeit (root-Zertifikat). - Migration auf einen anderen Rechner (wegen DC-2000) - Ausgestellte Zertifikate sollen bis zum Laufzeitende weiterhin funktionieren. (Successive Verlängerung/Neuaustellung über die neue CA mit längerer Laufzeit) Da die Rechte über eine AD gesteuert werden, würde ich eine AD-Integrierte CA bevorzugen.) Ist es nun klarer, was mein Problem ist? Bei den 2 CAs habe ich das Problem, dass die neue CA am Client scheinbar nicht bekannt ist. (siehe oben)

Hi olc, mir geht nicht nur um die Migration sondern auch darum die Gültigkeitsdauer des rootzertifikats zu verlängern. Diese ist 2-Jahre, die Leute müssen also Jährlich bei uns antanzen, um das Zertifikat auf der Smartcard auszutauschen. ( Halbe Dauer des root-Zertifikats) Laut meiner Information läst sich das nachträglich nicht ändern. Nochmal, 2 CA`s parallel zu betreiben geht also nicht? Viele Grüße Lothar

Danke für den Link, leider ist das nicht das was ich will. Alle ausgestellten Zertifikate sperren, würde bedeuten, dass ich - alle Smartcards zurückholen; - die neue CA einrichten; - neue Smartcards erstellen und an die Anwender senden; muss. Das benötigt Zeit und die Anwender können in der Zeit sich nicht verbinden. Gibt es keinen anderen Weg?

Hallo, Wir haben eine Stammzertifizierungsstelle im AD auf einem Domänen Controller (Windows 2000) Mit einem root Zertifikat, das 2 Jahre Gültigkeit besitzt. Nun sind wir in der Migration auf AD2008 R2 (Ein Domänencontroller ist schon eingebunden) Um den letzten DC200 los zu werden würde ich gerne alle Zertifikate auslaufen lassen und danach entfernen. In der Zeit hätte ich gerne einen zweite Stamm-Zertifizierungsstelle auf einem 2008 R2 Mitgliedsserver betrieben. (Domänen integriert) Die Installation hat soweit funktioniert. Will ich nun auf unserem RAS-Server (Windows 2003 SP2) ein Computerzertifikat über die neue CA erstellen. (Leider wird mir in der MMC nur die alte CA angeboten.:( ) Bei der Webregistrierung steht das Computerzertifikat nicht zur Verfügung!:eek: Was mache ich da falsch?:confused: Gibt esventuell einen anderen Weg, die CA von dem Domönencontroller weg zu bekommen und die Gültigkeitsdauer des Root-Zertifikats zu verlängern? Danke!