Blase 15 Geschrieben 12. April 2013 Melden Teilen Geschrieben 12. April 2013 Hallo, wir haben einen alten Server 2003, welcher die AD Zertifizierungsstelle inne hat. Letztlich brauchten und brauchen wir lediglich ein Zertifikat, nämlich für unseren Exchange 2010 (auf einem anderen Server). Da der (Zert-)Server bald abgeschaltet werden soll (nachdem die letzten Sachen migriert worden sind) stellt sich mir die Frage, ob ich bezüglich der Zertifizerungsstelle hier groß was beachten muss. Mir ist klar, dass das Zertifikat mit dem Abschalten des Servers seine Gültigkeit verliert - die Frage ist eher, ob ich das ignorieren kann, da ich ja eh die Zertifizierungsrolle auf einem anderen System unterbringen muss und so gleich ein neues Exchange Zertifikat ausstellen kann/soll. Kann ich? Oder muss dort was "migriert" werden? Muss ich mein AD dahingehend "bereinigen", als das ich die alten Zert-Server Einträge irgendwie rauslösche/entferne? Oder kann ich einfach eine weitere "Stammzertifizierungsstelle" auf einem anderen System einrichten? Fragen über Fragen... :) MfG Blase Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 12. April 2013 Melden Teilen Geschrieben 12. April 2013 Da gibt es sogar einen Migrationsguide für. 1 Minute googlen hätten dir geholfen: http://technet.microsoft.com/en-us/library/ee126170%28v=ws.10%29.aspx Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 12. April 2013 Autor Melden Teilen Geschrieben 12. April 2013 Hey, versteh mich nicht falsch - danke für den Link zum Tool, aber die Frage war eher, ob ich überhaupt migrieren muss. Es geht wie gesagt nur um ein einzelnes Zertifikat, welches ich auch einfach neu erstellen kann. Und bevor ich mich in ein Migrations-Tool "einarbeite", installiere ich lieber die Zertifizeriungsrolle neu - WENN das denn so einfach geht... Denn scheinbar sind das einige Schritte bei der Migration: Backing up a CA database and private key Backing up CA registry settings Backing up CAPolicy.inf Removing the CA role service from the source server Removing the source server from the domain Joining the destination server to the domain Adding the CA role service to the destination server Restoring the CA database and configuration on the destination server Granting permissions on AIA and CDP containers Additional procedures for failover clustering (optional) Verifying the migration Verifying certificate enrollment Verifying CRL publishing Post-migration tasks Upgrading certificate templates in Active Directory Domain Services (AD DS) Retrieving certificates after a host name change Restoring Active Directory Certificate Services (AD CS) to the source server in the event of migration failure Troubleshooting migration Bleibt also die Frage - muss ich das machen? MfG Blase Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 24. April 2013 Melden Teilen Geschrieben 24. April 2013 Wurde von der alten ca nur das Zertifikat für den Exchange ausgestellt? Kann ich mir nicht vorstellen. Unabhängig davon, kann man natürlich auch alles neu machen, anstatt zu migrieren. Man muss dann eben abwägen was weniger Stress macht. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 25. April 2013 Autor Melden Teilen Geschrieben 25. April 2013 Hallo Norbert, doch, es ist tatsächlich so, dass die Zertifizierungsstelle lediglich für das Exchange Zertifikat eingerichtet worden ist und demnach das Exchange Zertifikat auch das einzige ist, welches überhaupt erstellt worden ist. Und... *räusper*... das ist nicht mal hundert prozentig "sauber", gibt nämlich hier und da noch Zertifikat Meldungen und so. Ich würde also, wenn ich das eh "anfassen" muss, es sogar bevorzugt auch neu erstellen und verteilen wollen - dann mit ALLEN möglichen enthaltenen Namen. :wink2: Also ich bevorzuge ganz klar die Neuerstellung sowohl der Zertifizierungsstelle und des Zertifikats - keine Migration. Die Frage ist und bleibt halt, geht das und ist der Aufwand hierfür vertretbar? Du sprichst den "Stress" ja an - wie viel ist es denn bei einer CA (auf einem Memberserver), einem Zertifikat in meiner (einen) Domäne (3 DCs)? MfG Blase Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 Hallo Norbert, doch, es ist tatsächlich so, dass die Zertifizierungsstelle lediglich für das Exchange Zertifikat eingerichtet worden ist und demnach das Exchange Zertifikat auch das einzige ist, welches überhaupt erstellt worden ist. Das ist nicht zwingenderweise so. Aber wenn du es verifiziert hast, dann spricht nichts dagegen, die CA einfach zu deinstallieren und dem Exchange ein neues Zertifikat einer anderen CA zu geben. Da aber üblicherweise bei einer Enterprise CA auch die DCs automatisch ein DC Zertifikat ziehen, hatte ich nachgefragt. Bye Norbert Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 25. April 2013 Autor Melden Teilen Geschrieben 25. April 2013 Naja, "verifiziert" könnte man es auch nennen - ich habe es seinerzeit installiert und außer mir fasst das keiner an :D Und weil ich bei der Erstellung des Zertifikats - aus mangel an Wissen - natürlich nicht alle nötigen Adressen hinterlegt habe, kommen halt ab und an im Bereich Outlook/owa Zertifikatsmeldungen. Wollte also die Gelegenheit nutzen und - so ich es denn eh anfassen muss - auch gleich komplett neu und vor allem "richtig" einrichten ;) Allerdings verunsicherst Du mich grade etwas - Du sprichst von einem Automatismus bezüglich AD Zertifikaterstellung?! Ich nehme nicht an, dass die "normale" AD-CA-Rolle die von Dir genannte "enterprise-Geschichte" ist, oder?! Oder wo schaue ich dann vorsichtshalber im AD nach, ob ein entsprechendes Zertifikat ausgestellt und im Einsatz ist? Erst sprichst Du von "Stress" und nun muss ich - scheinbar - nicht mal was tun, außer die alte CA zu deinstallieren?! Hey, das ist einfach :thumb1: :p MfG Blase Zitieren Link zu diesem Kommentar
NorbertFe 2.066 Geschrieben 25. April 2013 Melden Teilen Geschrieben 25. April 2013 Schau doch einfach in die ca, welche Zertifikate ausgestellt wurden. Zitieren Link zu diesem Kommentar
Blase 15 Geschrieben 26. April 2013 Autor Melden Teilen Geschrieben 26. April 2013 Hallo Norbert, natürlich hast du Recht, dort stehen weitaus mehr ausgestellte Zertifikate drin, als das nackte Exchange Zertifikat ("Webserver" + ein paar Versuche ;) ). Wenn ich das richtig sehe, sind die meisten davon eh abgelaufen. Ok, bleibt es dabei, dass ich hier einfach die CA entferne und dann einfach ohne weitere Tätigkeiten frisch auf einem neuen System installiere? Oder wird es nun komplizierter? MfG Blase Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.