Enterprise PKI migrieren

[DAUjones 10]

Hallo erstmal und gutes Neues!

 

Kann man eine Enterprise PKI bzw. deren Inhalt bzw. nur ein einzelnes Zertifikat in eine neue Domäne umziehen und wenn ja, wie?

[olc 18]

Hi,

 

vielleicht erst einmal eine Gegenfrage: Was genau willst Du erreichen bzw. was ist der Hintergrund dafür?

 

Einfach eine PKI "umziehen" ist nicht so einfach möglich. Aber vielleicht gibt es ja andere Ansätze, wenn Du Dein Anliegen bzw. den Hintergrund dafür etwas genauer erläuterst.

 

Viele Grüße

olc

[DAUjones 10]

Hat sich erledigt und war wohl auch etwas unzutreffend formuliert. Wollte eine Enterprise CA so in einer neuen Domäne aufbauen, dass alte Zertifikate, die Clients benutzen, weiter funktionieren. Hab aber schnell aufgegeben und lieber neue Zertifikate ausgerollt.

[solinske 10]

Würde auch nicht funktionieren.

[olc 18]

Hi,

 

der Vollständigkeit halber noch die Ergänzung, daß man nicht pauschal sagen kann "geht nicht". Wenn der DNS Name der neuen CA gleich der alten ist, funktioniert eine "Migration". Ansonsten müßte man mit CNAMEs die Struktur "hinfrickeln". Ob das empfehlenswert ist sei dahingestellt.

 

Befinden sich die neue und die alte Domäne im selben Forest und die CA ist eine Enterprise CA, muß man im Grunde gar nichts tun. Dann läuft alles wie bisher, solange die Ursprungsdomäne nicht abgeschaltet wird.

 

Da wir beide Punkte oben nicht weiter in Bezug auf die Ausgangssituation klären konnten dient dies nur als Hinweis.

 

Zusätzlich ließen sich die alten Zertifikate als solches auch noch in eine neue Struktur mit übernehmen, nur wäre dann keine einzelne Revokation oder ähnliches möglich, so daß man davon im Grunde nur abraten kann. In diesem Fall kann man sich die CA auch sparen.

 

Viele Grüße

olc