knilch 10 Geschrieben 5. März 2008 Melden Teilen Geschrieben 5. März 2008 Hallo zusammen, so komm ich mal gleich zur Sache, ich habe vor kurzer Zeit eine Root-CA auf einem Win2k3 aufgesetzt, nun haben wir umgestellt auf Win2k8 dort habe ich auch eine Root-CA aufgesetzt und die auf dem Win2k3 system wieder entfernt. Mein Problem ist jetzt das in der MMC von Win2k8 unter dem punkt "PKI" beide CA server auftacuhen und beide laufen nicht? haben ein rotes "x" :( ich habe keinen Plan warum der alte server da noch mit aufgeführt ist... und weiss auch nicht wie ich den weg bekommen?! Kann mir wer helfen? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 5. März 2008 Melden Teilen Geschrieben 5. März 2008 Hi, ist die 2003er CA als auch die 2008er CA eine Enterprise CA, also "AD-integriert"? Sieht für mich erst einmal so aus... Ist die Antwort "ja", schau doch einmal (z.B. mittels ADSIEdit oder LDP), wo überall die alte CA unterhalb des folgenden LDAP-Pfades aufgeführt ist: CN=Public Key Services,CN=Services,CN=Configuration,DC=<domain>,DC=<tld> Besonders interessant sind die beiden Container "CN=Certification Authorities" und "CN=NTAuthCertificates". Liegt dort unter Umständen noch die "Leiche" der alten CA? Bitte bedenke: Entfernst Du die alte CA auch von dort, sind die bisher ausgestellten Zertifikate ungültig, sobald diese Änderung auf den Clients übernommen wurde, da diese die Zertifikatkette nicht mehr verifizieren können, sobald das alte Root-Zertifikat aus dem lokalen, zwischengespeicherten Store entfernt wurde. Das passiert nach dem Entfernen des entsprechenden Zertifikats vom genannten Pfad / den genannten Containern. Viele Grüße olc Zitieren Link zu diesem Kommentar
knilch 10 Geschrieben 7. März 2008 Autor Melden Teilen Geschrieben 7. März 2008 THX! ja sind beide AD integriert! werde mich mal durch den LDAP-baum wursteln! Und das mit der Zertifikaten ist kein prob. da ich noch keine ausgestellt ahbe mit dem 2003 :) der war nur zum Testen! Aber das ganze ist doch nicht normal wenn die CA sauber entfernt wird oder? Zitieren Link zu diesem Kommentar
thorgood 10 Geschrieben 7. März 2008 Melden Teilen Geschrieben 7. März 2008 Wenn du nicht direkt im LDAP "rumschrauben" willst geht das ganze natürlich auch über die MMC Active Directory Sites and Services. http://support.microsoft.com/kb/555151 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.