Gruffy 10 Geschrieben 9. Februar 2010 Melden Geschrieben 9. Februar 2010 Moin, Folgendes, In unseren Unternehmen ist die PKI Stelle auf einem DC Installiert. Ja ich Weiß… nun möchte ich die Cert stelle auf einem anderen Host migrieren. Das ganze Prozedere habe ich in eine Test Umgebung ausgeführt und es funktioniert. Eine Sache macht mich allerdings stutzig.. CRL Delta Speicherort zeigt an das kein Download möglich ist. Mir ist klar das nach der PKI rücksicherung der Datenbank dies zustande kommt.. Wird sich das erst wieder regeln wenn die alten (noch gültigen ) Zertifikate ihre Gültigkeit verlieren oder muss man da Manuel angreifen ? Please, Enlight me :) Zitieren
nerd 28 Geschrieben 9. Februar 2010 Melden Geschrieben 9. Februar 2010 Hi, der Pfad zur CRL steht in jedem ausgestellten Zertifikat - damit werden die alten Zertifikate weiterhin auf deinen alten Server zeigen und folglich versuchen von dort die CRL zu laden. Ich richte daher den CRL Pfad meist auf einen alias ein - den kann man dann via DNS auf neue Server umziehen ohne stress zu bekommen. (z. B. crl.fragmichnicht.de) Zitieren
Gruffy 10 Geschrieben 9. Februar 2010 Autor Melden Geschrieben 9. Februar 2010 Tag, Das heißt das ich den CRL Pfad auf den neuen Host ändern kann und dann sollte alles wieder hübsch sein ? Habe ich dich richtig verstanden ? Zitieren
nerd 28 Geschrieben 9. Februar 2010 Melden Geschrieben 9. Februar 2010 Hi, nur für die neuen Zertifikate (oder wenn du bei den alten Zertifikaten schon einen DNS Alias für die CRL mitgegeben hast). Zitieren
Gruffy 10 Geschrieben 9. Februar 2010 Autor Melden Geschrieben 9. Februar 2010 ok.. Wie mach ich das denn ? Zitieren
olc 18 Geschrieben 10. Februar 2010 Melden Geschrieben 10. Februar 2010 Hi, Du definierst im DNS einen ALIAS für den neuen DNS Eintrag des neuen Servers. Der Alias zeigt dann auf eine neue Lokation, aber mit dem neuen Namen. Viele Grüße olc Zitieren
Gruffy 10 Geschrieben 11. Februar 2010 Autor Melden Geschrieben 11. Februar 2010 Ah ja.. das ist schlau.. :) Doch eins bleibt noch, der CRL Pfad zeigt auf den DC was mir quasi den Alias Namen nimmt.. :( Es bleibt dann nichts anderes als den DC nach der neu Installation (was ich sowieso vor habe wegen Platten Wechsel) einen anderen Namen zu vergeben. oder denke ich falsch ? Zitieren
olc 18 Geschrieben 11. Februar 2010 Melden Geschrieben 11. Februar 2010 Hi, genau solche Probleme sind der Grund, eine CA erst gar nicht auf einem DC zu installieren... ;) Wenn Du den Alias Weg gehen möchtest, muß der Name des DCs geändert werden. Alternativ kannst Du bestehende Zertifikate austauschen, um so neue CRL Lokationen einfließen zu lassen. Je nachdem, wie groß die Umgebung ist bzw. wie viele Zertifikate für bestimmte Zwecke ausgestellt wurden, kann der eine oder der andere Weg schmerzfreier sein. Viele Grüße olc Zitieren
Gruffy 10 Geschrieben 12. Februar 2010 Autor Melden Geschrieben 12. Februar 2010 Hi Olc, Man lernt nie aus :wink2:.. Danke für die Unterstützung :) Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.