Zertifizierungsstelle auf altem Server / was vor "Stecker ziehen" beachten?

[Blase 15]

Hallo,

 

wir haben einen alten Server 2003, welcher die AD Zertifizierungsstelle inne hat. Letztlich brauchten und brauchen wir lediglich ein Zertifikat, nämlich für unseren Exchange 2010 (auf einem anderen Server). Da der (Zert-)Server bald abgeschaltet werden soll (nachdem die letzten Sachen migriert worden sind) stellt sich mir die Frage, ob ich bezüglich der Zertifizerungsstelle hier groß was beachten muss. Mir ist klar, dass das Zertifikat mit dem Abschalten des Servers seine Gültigkeit verliert - die Frage ist eher, ob ich das ignorieren kann, da ich ja eh die Zertifizierungsrolle auf einem anderen System unterbringen muss und so gleich ein neues Exchange Zertifikat ausstellen kann/soll. Kann ich? Oder muss dort was "migriert" werden? Muss ich mein AD dahingehend "bereinigen", als das ich die alten Zert-Server Einträge irgendwie rauslösche/entferne? Oder kann ich einfach eine weitere "Stammzertifizierungsstelle" auf einem anderen System einrichten?

 

Fragen über Fragen... :)

 

MfG Blase

[NeMiX 76]

Da gibt es sogar einen Migrationsguide für. 1 Minute googlen hätten dir geholfen: http://technet.microsoft.com/en-us/library/ee126170%28v=ws.10%29.aspx

[Blase 15]

Hey,

 

versteh mich nicht falsch - danke für den Link zum Tool, aber die Frage war eher, ob ich überhaupt migrieren muss. Es geht wie gesagt nur um ein einzelnes Zertifikat, welches ich auch einfach neu erstellen kann. Und bevor ich mich in ein Migrations-Tool "einarbeite", installiere ich lieber die Zertifizeriungsrolle neu - WENN das denn so einfach geht...

 

Denn scheinbar sind das einige Schritte bei der Migration:

 

Backing up a CA database and private key

 

• Backing up CA registry settings
   
• Backing up CAPolicy.inf
   
• Removing the CA role service from the source server
   
• Removing the source server from the domain
   
• Joining the destination server to the domain
   
• Adding the CA role service to the destination server
   
• Restoring the CA database and configuration on the destination server
   
• Granting permissions on AIA and CDP containers
   
• Additional procedures for failover clustering (optional)

Verifying the migration

• Verifying certificate enrollment
   
• Verifying CRL publishing
   

Post-migration tasks

• Upgrading certificate templates in Active Directory Domain Services (AD DS)
   
• Retrieving certificates after a host name change
   
• Restoring Active Directory Certificate Services (AD CS) to the source server in the event of migration failure
   
• Troubleshooting migration

 

Bleibt also die Frage - muss ich das machen?

 

MfG Blase

[NorbertFe 2.027]

Wurde von der alten ca nur das Zertifikat für den Exchange ausgestellt? Kann ich mir nicht vorstellen. Unabhängig davon, kann man natürlich auch alles neu machen, anstatt zu migrieren. Man muss dann eben abwägen was weniger Stress macht. ;)

 

Bye

Norbert

[Blase 15]

Hallo Norbert,

 

doch, es ist tatsächlich so, dass die Zertifizierungsstelle lediglich für das Exchange Zertifikat eingerichtet worden ist und demnach das Exchange Zertifikat auch das einzige ist, welches überhaupt erstellt worden ist. Und... *räusper*... das ist nicht mal hundert prozentig "sauber", gibt nämlich hier und da noch Zertifikat Meldungen und so. Ich würde also, wenn ich das eh "anfassen" muss, es sogar bevorzugt auch neu erstellen und verteilen wollen - dann mit ALLEN möglichen enthaltenen Namen. :wink2:

 

Also ich bevorzuge ganz klar die Neuerstellung sowohl der Zertifizierungsstelle und des Zertifikats - keine Migration. Die Frage ist und bleibt halt, geht das und ist der Aufwand hierfür vertretbar?

 

Du sprichst den "Stress" ja an - wie viel ist es denn bei einer CA (auf einem Memberserver), einem Zertifikat in meiner (einen) Domäne (3 DCs)?

 

MfG Blase

 

 

[NorbertFe 2.027]

Hallo Norbert,

 

doch, es ist tatsächlich so, dass die Zertifizierungsstelle lediglich für das Exchange Zertifikat eingerichtet worden ist und demnach das Exchange Zertifikat auch das einzige ist, welches überhaupt erstellt worden ist.

 

Das ist nicht zwingenderweise so. Aber wenn du es verifiziert hast, dann spricht nichts dagegen, die CA einfach zu deinstallieren und dem Exchange ein neues Zertifikat einer anderen CA zu geben. Da aber üblicherweise bei einer Enterprise CA auch die DCs automatisch ein DC Zertifikat ziehen, hatte ich nachgefragt.

 

Bye

Norbert

[Blase 15]

Naja, "verifiziert" könnte man es auch nennen - ich habe es seinerzeit installiert und außer mir fasst das keiner an :D

 

Und weil ich bei der Erstellung des Zertifikats - aus mangel an Wissen - natürlich nicht alle nötigen Adressen hinterlegt habe, kommen halt ab und an im Bereich Outlook/owa Zertifikatsmeldungen. Wollte also die Gelegenheit nutzen und - so ich es denn eh anfassen muss - auch gleich komplett neu und vor allem "richtig" einrichten ;)

 

Allerdings verunsicherst Du mich grade etwas - Du sprichst von einem Automatismus bezüglich AD Zertifikaterstellung?! Ich nehme nicht an, dass die "normale" AD-CA-Rolle die von Dir genannte "enterprise-Geschichte" ist, oder?! Oder wo schaue ich dann vorsichtshalber im AD nach, ob ein entsprechendes Zertifikat ausgestellt und im Einsatz ist?

 

Erst sprichst Du von "Stress" und nun muss ich - scheinbar - nicht mal was tun, außer die alte CA zu deinstallieren?! Hey, das ist einfach :thumb1:  :p

 

MfG Blase

[NorbertFe 2.027]

Schau doch einfach in die ca, welche Zertifikate ausgestellt wurden.

[Blase 15]

Hallo Norbert,

 

natürlich hast du Recht, dort stehen weitaus mehr ausgestellte Zertifikate drin, als das nackte Exchange Zertifikat ("Webserver" + ein paar Versuche ;) ).

 

Wenn ich das richtig sehe, sind die meisten davon eh abgelaufen.

 

Ok, bleibt es dabei, dass ich hier einfach die CA entferne und dann einfach ohne weitere Tätigkeiten frisch auf einem neuen System installiere? Oder wird es nun komplizierter?

 

MfG Blase