tqsystem 10 Geschrieben 24. März 2010 Melden Teilen Geschrieben 24. März 2010 Hallo, Wir haben eine Stammzertifizierungsstelle im AD auf einem Domänen Controller (Windows 2000) Mit einem root Zertifikat, das 2 Jahre Gültigkeit besitzt. Nun sind wir in der Migration auf AD2008 R2 (Ein Domänencontroller ist schon eingebunden) Um den letzten DC200 los zu werden würde ich gerne alle Zertifikate auslaufen lassen und danach entfernen. In der Zeit hätte ich gerne einen zweite Stamm-Zertifizierungsstelle auf einem 2008 R2 Mitgliedsserver betrieben. (Domänen integriert) Die Installation hat soweit funktioniert. Will ich nun auf unserem RAS-Server (Windows 2003 SP2) ein Computerzertifikat über die neue CA erstellen. (Leider wird mir in der MMC nur die alte CA angeboten.:( ) Bei der Webregistrierung steht das Computerzertifikat nicht zur Verfügung!:eek: Was mache ich da falsch?:confused: Gibt esventuell einen anderen Weg, die CA von dem Domönencontroller weg zu bekommen und die Gültigkeitsdauer des Root-Zertifikats zu verlängern? Danke! Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 24. März 2010 Melden Teilen Geschrieben 24. März 2010 Hi tqsystem und willkommen an Board, :) leider verstehe ich Dein Anliegen nicht so richtig - wo genau liegt das Problem auf welcher CA? Schau einmal hier hinein, vielleicht hilft es Dir einen Schritt weiter: How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000 . Viele Grüße olc Zitieren Link zu diesem Kommentar
tqsystem 10 Geschrieben 25. März 2010 Autor Melden Teilen Geschrieben 25. März 2010 Danke für den Link, leider ist das nicht das was ich will. Alle ausgestellten Zertifikate sperren, würde bedeuten, dass ich - alle Smartcards zurückholen; - die neue CA einrichten; - neue Smartcards erstellen und an die Anwender senden; muss. Das benötigt Zeit und die Anwender können in der Zeit sich nicht verbinden. Gibt es keinen anderen Weg? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. März 2010 Melden Teilen Geschrieben 25. März 2010 Hi, doch, Du kannst die CA einfach migrieren. Ich verstehe wie gesagt die Fragestellung nicht zu 100% - vielleicht beschreibst Du noch einmal, was Du konkret erreichen möchtest. Wenn es Dir ausschließlich um einen "Umzug" der CA geht, dann hilft Dir vielleicht das weiter: How to move a certification authority to another server bzw. das: Active Directory Certificate Services Migration Guide Viele Grüße olc Zitieren Link zu diesem Kommentar
tqsystem 10 Geschrieben 25. März 2010 Autor Melden Teilen Geschrieben 25. März 2010 Hi olc, mir geht nicht nur um die Migration sondern auch darum die Gültigkeitsdauer des rootzertifikats zu verlängern. Diese ist 2-Jahre, die Leute müssen also Jährlich bei uns antanzen, um das Zertifikat auf der Smartcard auszutauschen. ( Halbe Dauer des root-Zertifikats) Laut meiner Information läst sich das nachträglich nicht ändern. Nochmal, 2 CA`s parallel zu betreiben geht also nicht? Viele Grüße Lothar Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. März 2010 Melden Teilen Geschrieben 25. März 2010 Hi Lothar, nein, nachträglich kannst Du die Laufzeit eines Zertifikats nicht verändern - Du mußt also ggf. ein neues Zertifikat für die Root CA mit längerer Laufzeit ausstellen. Danach können neue SmartCard Zertifikate etc. auch eine längere Laufzeit haben, da sie mit dem neuen Root Cert / Issuing Cert signiert werden. Es laufen dann eine Zeit "X" die beiden Root Zertifikate (alt und neu) parallel auf derselben CA. 2 CAs parallel betreiben kannst Du natürlich, nur vermute ich, daß das nicht das bringt, was Du Dir wünscht. Auch wenn Du "nochmal" schreibst, daß Du CAs parallel betreiben möchtest, ist mir auch nach Deinem dritten Post nicht klar, was Du damit bezwecken möchtest. :wink2: Viele Grüße olc Zitieren Link zu diesem Kommentar
tqsystem 10 Geschrieben 25. März 2010 Autor Melden Teilen Geschrieben 25. März 2010 Hallo olc, Du schreibst ich soll ein neues root zertifikat ausstellen, dass eine längere Laufzeit hat. Das habe ich schon probiert, allerdings ist die Laufzeit immer 2 Jahre, das ist fest vorgegeben. ( Durch das Rootzertifikat bei der Ersteinrichtung.) In einer neu aufgezogenen CA kann ich längere Zeiten wählen. Mir geht es um 3 Dinge: - Verlängerung der Laufzeit (root-Zertifikat). - Migration auf einen anderen Rechner (wegen DC-2000) - Ausgestellte Zertifikate sollen bis zum Laufzeitende weiterhin funktionieren. (Successive Verlängerung/Neuaustellung über die neue CA mit längerer Laufzeit) Da die Rechte über eine AD gesteuert werden, würde ich eine AD-Integrierte CA bevorzugen.) Ist es nun klarer, was mein Problem ist? Bei den 2 CAs habe ich das Problem, dass die neue CA am Client scheinbar nicht bekannt ist. (siehe oben) Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 26. März 2010 Melden Teilen Geschrieben 26. März 2010 Hi, nein, Du kannst die Laufzeit verlängern. Dazu mußt Du jedoch bei einer Root CA die Datei "Policy.inf" bemühen und folgende Zeilen einfügen: [certsrv_server] renewalkeylength=2048 RenewalValidityPeriodUnits=10 RenewalValidityPeriod=years Ggf. sind die Werte anzupassen. Danach kannst Du ein neues Cert mit 10 Jahren Laufzeit ausstellen. Zu der Migration: Du kannst eine CA wie im Link oben beschrieben "einfach" umziehen - dann entfällt ein Parallelbetrieb. Das wäre meines Erachtens auch die bessere Variante, um Wildwuchs mit 2 CAs zu vermeiden. Die Laufzeit des Root CA Zertifikats ist ja nun kein Hindernis mehr. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
tqsystem 10 Geschrieben 7. April 2010 Autor Melden Teilen Geschrieben 7. April 2010 Hallo OLC, ok wenn das funktioniert, sieht das etwas anders aus. Allerdings handelt es sich um einen Domänencontroller. Laut Migrationsbeschreibung sollte der 2000er Server erst auf 2003 upgedatet werden. Ist das Ratsam einen Domänencontroller einfach auf 2003 hochzuziehen? Viele Grüße Lothar Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 7. April 2010 Melden Teilen Geschrieben 7. April 2010 Hi, testen, testen, testen. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
tqsystem 10 Geschrieben 13. April 2010 Autor Melden Teilen Geschrieben 13. April 2010 Hallo, das Update auf 2003 ist durch. Ich bin gerade mitten in der Migration und hänge an dem Ändern der Gültigkeitsdauer des ROOT- Certifikats. Du Schreibst, ich soll dazu die Policy.inf benützen Ich weiß nun, dass diese beim Installieren gezogen wird, wie kann ich die Eintragungen in der Policy.inf laden? Danke! tqsystem Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 13. April 2010 Melden Teilen Geschrieben 13. April 2010 Hi, Du mußt diese nicht laden - wenn die Datei im Windows Verzeichnis existiert, wird sie automatisch herangezogen, wenn das Root Zertifikat erneuert werden soll. Viele Grüße olc Zitieren Link zu diesem Kommentar
tqsystem 10 Geschrieben 14. April 2010 Autor Melden Teilen Geschrieben 14. April 2010 Hallo olc, nun läufts. Das Rootzertifikat wird mit einer längeren Laufzeit ausgestellt. Vielen Dank für die Unterstützung. tqsystem Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Hi tqsystem, schön, daß es nun klappt. :) Vielen Dank für die Rückmeldung und viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.