NJA10 10 Geschrieben 9. September 2010 Melden Teilen Geschrieben 9. September 2010 Guten Abend, ich habe ein Problem mit meiner Zertifizierungsstelle. Ich habe eine Migration von 2003R2 auf 2008R2 nach dieser Anleitung durchgeführt: AD CS Migration: Migrating the Certification Authority Dabei habe ich auch den Hostnamen des Servers geändert. Es hat eigentlich auch alles geklappt. Doch ich bekomme nun bei dem Versuch den Rollensdienst: Zertifizierungsstellen-Webregestrierung hinzuzufügen den Fehler: "Die Zertifizierungssteellen-Webregistrierung kann nicht installiert werden. Fehler beim Active Directory Zertifikatdienste Setup mit folgendem Fehlercode: Falscher Parameter. 0x80070057 (WIN32: 87)" Zudem haber ich unter Unternehmens-PKI/<CAName> die Einträge: AIA Speicherort #2, DeltaCRL-Speicherort #2 und Speicherort für Sperrlisten-Verteilungspunkte #2 jeweils mit einer http Url allerdings mit dem Namen des alten Servers. Diese melden einen Fehler da ein Download nicht möglich ist. Falls jemand eine Idee hätte wäre ich sehr Dankbar Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 9. September 2010 Melden Teilen Geschrieben 9. September 2010 Guten Abend NJA10 und willkommen an Board, :) wenn Du den Host umbenannt hast kann es sein, daß "Reste" mit dem alten Namen der CA noch in der Registrierung zu finden sind. Stoppe den CA Dienst und schau einmal unterhalb von HKLM\SYSTEM\CurrentControlSet\CertServ in den untergeordneten Schlüsseln nach dem alten Hostnamen und ersetze ihn durch den neuen. Vorher natürlich die Maschine entsprechend sichern, daß Du notfalls zurück kannst. Bezüglich der CRLs und AIA --> das ist eigentlich auch Thema der Migration Guides: Wenn Du den Hostnamen geändert hast und die CRL Lokationen usw. noch auf den alten namen zeigen und diese nicht "generalisiert" sind, also auf allgemeine Verteilungspunkte zeigen, die nicht Maschinenabhängig sind, mußt Du dafür sorgen, daß die CRL, AIA usw. weiterhin auch auf die alten URLs veröffentlicht werden. Ggf. auch über DNS Aliase und Einträge in die CRL Publish Informationen. Schau noch einmal in den Migration Guide, dort solltest Du fündig werden. P.S.: Du solltest Dich mit den Aktionen beeilen - wenn die CRL abläuft und das Problem nicht gefixt ist, bekommen die Clients Probleme. Dann mußt Du entweder die CRL manuell signieren oder schnellstmöglich die alte Struktur wiederherstellen. Viele Grüße olc Viele Grüße olc Zitieren Link zu diesem Kommentar
NJA10 10 Geschrieben 10. September 2010 Autor Melden Teilen Geschrieben 10. September 2010 Ich habe jetzt nicht nicht erreichbaren alten URLs gelöscht. Jetzt habe ich nur noch einen DeltCRL Speicherort #2 ebenfalls mit einer htpp URL die es ja jetzt nicht mehr geben kann da sie auf den alten verweist, jedoch weiß ich nicht wie ich diese gelöscht bekomme. Eine andere Frage wäre, wenn der Grund der neue Name ist. Wäre es möglich die Rolle auf dem neuen Server wieder zu entfernen in aus der Domäne zu nehmen den alten Namen zu geben und wieder hinzuzufügen. Dann die Rolle wieder drauf, die Datenbank bleibt ja erhalten. Danach wieder das einspielen der Ursprünglichen Registry Einträge vom alten Server. Danach müsste doch alles wieder mit dem alten Namen erreichbar sein oder? Gruß Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 10. September 2010 Melden Teilen Geschrieben 10. September 2010 Hi, das Löschen der nicht erreichbaren URLs bringt Dir nichts - diese sind ja noch in den ausgestellten Zertifikaten vorhanden. Damit löst Du das Problem leider nicht... Bezüglich der zweiten Frage: Ja, ganz genau. Das sollte so funktionieren. Prüfe jedoch vorher, ob in der Zwischenzeit von der "neuen CA" schon Zertifikate ausgegeben wurden. Wenn das der Fall ist, verkompliziert es die Sache, denn diese Zertifikate müssen ja auch "irgendwie" verifiziert werden, wenn die neue CA nicht mehr existiert. Viele Grüße olc Zitieren Link zu diesem Kommentar
NJA10 10 Geschrieben 13. September 2010 Autor Melden Teilen Geschrieben 13. September 2010 Hi, ich denke ich habe das Problem gelöst, auch wenn es für mich nicht ganz schlüssig ist. Zunächst wollte ich die alte Zertifizierungsstelle wieder in Betrieb nehmen, ich habe es dann aber doch zunächst eine erneute Installation der neuen probiert. Dabei habe ich nun direkt den Webregistrierungs Rollendienst hinzugefügt. Dies funktionierte ohne Probleme, auch die Zertifizierungsstelle funktioniert nun Fehlerfrei. Nur habe ich nun zwei Root Zertifikate, wobei das neuen nicht so lange gültig ist wie das alte... Ich habe zum Test ein Zertifikat für einen Webserver angefordert, die Verbindung zu diesem ließ sich auch mit dem alten Root Zertifikat herstellen von demher gehe ich davon aus das alles funktioniert. Viele Grüße Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 13. September 2010 Melden Teilen Geschrieben 13. September 2010 HI NJA, nein, was Du jetzt hast ist vollkommenes Chaos. Innerhalb kurzer Zeit sind Fehler zu erwarten. Ohne es böse zu meinen ist meine Empfehlung an dieser Stelle, Dir jemanden ins Haus zu holen, der sich damit auskennt. Bevor es Probleme gibt. Viele Grüße olc Zitieren Link zu diesem Kommentar
NJA10 10 Geschrieben 14. September 2010 Autor Melden Teilen Geschrieben 14. September 2010 Hi, hmm ok das wäre nicht soo schön. In wie fern sind Fehler zu erwarten? Was mich wundert ist das momentan beide Root Zertifikate gültig sind, oder die Tests zumindest mit beiden Root Zertifikaten funktionierten, woher das neue kommt verstehe ich dabei nicht, da wir bei der Installation explizit das vorhandene übernommen haben. Gruß NJA Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.