Zertifizierungsstelle - alte entfernen und neue einsetzen

[steppe 10]

Hallo zusammen,

 

ich habe vor unsere alte Zertifizierungstelle abzulösen (1 stufig, ad integriert, nichts außer basis-efs und domänencontroller zerts) und gegen eine 2 stufige zu ersetzen.

 

Der Plan steht schon. Allerdings noch ein paar abschließende Fragen.

 

Die alte Zertifizierungsstelle (auch DC WSUS etc) hatte ich probeweise mal für 5 Tage ausgelassen und auf den anderen Servern nach Fehlern geschaut.

 

Folgende sind mir untergekommen:

KDC 20 Das zurzeit ausgewählte KDC-Zertifikat war vorher gültig, aber ist jetzt ungültig und es konnte kein geeigneter Ersatz gefunden werden.

 

NETLOGON 5774Fehlerwert: Die DNS-Signatur konnte nicht überprüft werden.

 

Sind beide Fehler an der nicht erreichbaren CA festzumachen (und sind nach der Anleitung zum entfernen weg) oder hab ich noch ein Problem ;)

 

Kann ich eigentlich auch einfach eine 2. CA ins Netz bringen (meine neue), die auch Domänencontroller Zertifikate verteilt und so einen Ausfall zB der WLAN Authentifizierung unterbinden ?

Oder soll ich erst die alte CA vollständig entfernen und dann die neue aufbauen ?

 

 

Ich habe gesehn, dass die alte CA die Basis-EFS Zertifikate ausgestellt hat. Kann ich irgendwie per Abfrage schauen ob jemand seine Platte oder Teile davon verschlüsselt hat ? Bevor ich die alte CA abschalte würde ich das gern wissen.

 

Grüße

Stephan

[olc 18]

Hi Stephan,

 

das korrekte Vorgehen ist hier beschrieben - und man tut gut daran, alle Punkte zu befolgen :) : How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000

 

Prüfe nach verschlüsselten Dateien kannst Du entweder mit "cipher.exe" oder "EFSDump.exe": http://www.serverhowto.de/Teil-3-Fazit-und-Empfehlungen.636.0.html

 

Viele Grüße

olc

[steppe 10]

Hallo olc,

 

genau diese Anleitung meine ich und sie ist auch schon fast meine Startseite ;)

 

Wichtig ist für mich auch die Frage ob ich eine 2. parallel aufbaun kann oder ob ich das besser lassen sollte ?

 

Grüße

Stephan

[olc 18]

Hi Stephan,

 

grunsätzlich kann man mehrere PKIs parallel betreiben, jedoch gibt es einige Fallstricke.

 

So nutzt ein DC etwa das "erste Zertifikat", welches in seinem Speicher gefunden wird, um SmartCard Authentifizierungen, LDAP/S usw. bereitzustellen.

Outlook mit S/MIME reagiert in einigen Versionen ähnlich bei E-Mail Verschlüsselung. Viele andere Applikationen und Dienste können ein gleiches Verhalten aufweisen.

 

Was will ich damit sagen: Ohne genau zu wissen, was Du derzeit alles für Applikationen und Dienste mit Zertifikaten der aktuellen PKI nutzt, wird eine Antwort schwer.

Zu den anderen Punkten hatte ich etwas gesagt. :)

 

Viele Grüße

olc

[steppe 10]

Danke olc,

 

dann werd ich wohl Tor 1 nehmen und die CA vorher entfernen.

Bisher wirds ja nur zur PEAP Authentifizierung vom WLAN benutzt.

 

Das mit dem Basis-EFS macht mir allerdings noch Sorgen. Ich hatte die GPO gesetzt, dass Verschlüsselung nicht erlaubt ist und hatte heute nun ein Anruf von einem Kollege bekommen, dass er eine Datei nicht mehr öffnen kann (der Ordner in der die Datei war, war verschlüsselt).

 

Kann ich irgendwie sicherstellen, dass ich trotzdem noch auf die Daten zugreifen kann ? Oder muss ich per attrib und script hoffen, dass ich alle Benutzer erwische bevor ich anfange ? ;)

 

Grüße

Stephan

[StefanWe 14]

du könntest alle ausgestellten Zertifikate sichern( mit privatem Schlüssel ) und auf ein sicheres Medium ablegen. Dann kannst du weiterhin an die Daten ran. Allerdings solltest du das Ablaufdatum beachten. Wenn das Zertifikat nicht mehr gültig ist und auch nicht verlängert wurde, dann kommst du nicht an die Daten ran.

[olc 18]

Hi Steppe,

 

Du kannst durchaus auch zwei CAs parallel betreiben, wenn Du Dir über die möglichen Probleme bewußt bist und entsprechende Gegenmaßnahmen ergreifst.

 

Je nachdem, über welche Größenordnung wir hier sprechen, kann jedoch eine Ablösung der alten CA vorher Sinn machen, damit ersparst Du Dir größere Fragestellungen. Aber das geht halt nur in kleinen Umgebungen, in größeren Landschaften fällt dieser Ansatz meist aus.

 

Bezüglich EFS: Bist Du Dir sicher, daß Du EFS korrekt deaktiviert hattest und es sich um einen Domänenclient handelte?

Sofern ein Data Recovery Agent vorhanden ist, kannst Du die EFS Daten notfalls damit wiederherstellen - andernfalls müssen das die Benutzer selbst tun.

 

Hinweise zu dem EFS Thema findest Du auch in dem oben genannten ServerHowTo.de Link.

 

Viele Grüße

olc

[steppe 10]

Hallo,

 

kleiner Nachtrag und Nachfrage zum Thema.

 

Alte CA abgelöst. Neue zweistufige installiert.

 

Nun noch 2 Fragen:

Was ist die Bestpractice Sicherung ?

Ich kann entweder die komplette virtuelle Machine jeden Tag sichern, die Windows Server Sicherung benutzen oder auch nur Mo-Do die Zertifikate sichern (geht das auch über Commandline?) und am Freitag die VM.

 

Wie kann ich erreichen, dass zB das Webserver Zertifikat 5 oder 10 Jahre hält anstatt nur 2 ?

Ich hab den Registry Eintrag geändert (betrifft das dann alle Vorlagen?) und eine Doppelte Vorlage für den Webserver erstellt mit 5 bzw 10 Jahren.

Die Laufzeit der SubCA ist 15 Jahre.

 

Ich würde gerne Zertifkate für alle iLOs und HP SMH erstellen laut faq o matic:

faq-o-matic.net » ILO-Board und HP System Management Homepage mit Zertifikaten einer eigenen CA versorgen

 

Und da ein Server nun mal an die 7 Jahre läuft ;) Will ich nicht 3mal ein Zertifkat ausstellen müssen.

 

Grüße

Stephan

[olc 18]

Hi,

 

sichern kannst Du wie folgt: Back up a certification authority: Public Key ("certutil.exe -backup").

Dazu noch die Registry Schlüssel des "CertSrv" Zweigs unter HKLM\System\CurrentControlSet\Services\CertSrv.

 

Alles andere (VM Sicherung usw.) kannst Du zusätzlich machen.

 

Mit Deiner anderen Frage kann ich nichts anfangen - Du mußt ein wenig genauer beschreiben, was konkret Du an Reg-Schlüsseln angepaßt hast, ob Du die CA danach neu gestartet hast und was danach passiert ist, als Du ein angepaßtes Template für die Zertifikatausstellung genutzt hast.

 

Viele Grüße

olc

[steppe 10]

Hallo olc,

 

danke für die Antwort. Dann setz ich das morgen mal auf.

 

Zur 1. Frage

 

Folgendes hab ich gemacht.

1. mit certutil -setreg die ca\validityperiodunits auf 5 gesetzt

2. certsvc neugestartet

3. doppelte vorlage von webseite mit laufzeit 5 jahren

4. vorlage erlaubt

5. base64 code über webregistrierung eingetragen (kann hier die laufzeit hinterlegt sein?)

6 -> fehlermeldung

 

Die genaue geb ich morgen durch.

 

Grüße

Stephan

[steppe 10]

Hallo,

 

etwas verzögert aber hier die Fehlermeldung:

 

"Der öffentliche Schlüssel erfüllt nicht die Mindestgröße, die von der angegebenen Zertifikatsvorlage angefordert wird" 0x80094811

 

Da ich aber einfach nur eine Doppelte Vorlage erstellt habe und die Jahre erhöht versteh ich die Meldung nicht ganz :)

 

Aber nun mal im Beispiel

Wenn ich die Regkeys gesetzt habe auf 10 Jahre. Dann heißt das doch dass ich nun Zertifikate mit 10 Jahren Gültigkeit ausstellen kann und nicht dass nun nur noch Zertifikate mit 10 Jahren ausgestellt werden ?

[olc 18]

Hi,

 

dann ist im Webinterface eine andere Schlüsselgröße angegeben, als diejenige, die im Template definiert wurde.

 

Die beiden Werte müßtest Du aneinander angleichen, dann sollte es klappen.

 

Auf den ersten Blick hat das nichts mit der Gültigkeitsdauer zu tun. Die hast Du nach Deinen Ausführungen oben korrekt verändert (vorletzter Post von Dir). :)

 

Viele Grüße

olc

[steppe 10]

Danke olc für die große Geduld und die super Ratschläge.

Dann leg ich mal los meine neue CA zu benutzen.

 

Da ich viele Sachen abdecken will wird bestimmt noch die eine oder andere Frage kommen.