hermann1514 11 Geschrieben 20. Januar 2016 Melden Teilen Geschrieben 20. Januar 2016 Hallo, wir betreiben zur Zeit eine reine Windows Server 2008 R2 AD. Der DC hat auch die Rolle der CA für unsere AD. Für die Migration auf Windows Server 2012R2 würde ich gerne die CA auf einem extra Server installieren. Ist es möglich, einen neuen Windows Server 2012R2 als MemberServer zu installieren, ihm die Rolle der CA geben und eine Neue CA zu installieren? Da wir nicht so viele Zertifikate haben, würde ich die bereits ausgestellen Zertifikate neu erstellen und ausrollen. Oder gibt es Probleme wenn es 2 CA's in der AD gibt? Ist sonst noch was zu beachten? Danke für Eure Hilfe. Gruß Hermann Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 20. Januar 2016 Melden Teilen Geschrieben 20. Januar 2016 Hallo, dazu gibt es eine Anleitung: https://technet.microsoft.com/en-us/library/ee126140(v=ws.10).aspx Und sogar als Video https://www.youtube.com/watch?v=SB8ibISkzvI ;) Zitieren Link zu diesem Kommentar
hermann1514 11 Geschrieben 21. Januar 2016 Autor Melden Teilen Geschrieben 21. Januar 2016 Supi, Danke. Was passiert denn mit den aktuellen Zertifikaten wenn die alte CA entfernt wurde. Bekommen die Clients dann für die Zeit des "Ausfalls" eine Fehlermeldung? Gruß Hermann Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 21. Januar 2016 Melden Teilen Geschrieben 21. Januar 2016 Was meinst du mit Clients? Switche o.ä.? Die werden natürlich meckern, wenn die Sperrlisten etc. der "alten" CA nicht mehr existieren. Um genaueres zu sagen, haben wir leider zu wenig Informationen deiner Infrastruktur. Zitieren Link zu diesem Kommentar
hermann1514 11 Geschrieben 21. Januar 2016 Autor Melden Teilen Geschrieben 21. Januar 2016 Hi, ja ich meine die Clients. Was passiert in der Zeit wenn die Clients auf einem Webserver zugreifen, der ein internes Zertifikat hat? Gruß Hermann Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 21. Januar 2016 Melden Teilen Geschrieben 21. Januar 2016 Moin, das kann man steuern. Ein üblicher Weg ist, solche internen Zertifikate einfach "auslaufen" zu lassen. Das setzt voraus, dass mindestens ein CRL-Pfad, der im Zertifikat benannt ist, erreichbar ist, bis das letzte Zertifikat abläuft oder nicht mehr genutzt wird. Dazu braucht man nicht die ganze CA, sondern nur den Web- oder Dateipfad. Gruß, Nils Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 21. Januar 2016 Melden Teilen Geschrieben 21. Januar 2016 Oder du bestückst die Clients parallel schon mit dem neuen Root-CA Zertifikat und stellst dann nach und nach die internen Webserver um. Wenn du die Sperrlisten der alten CA offline nimmst, kriegen die Clients verständlicherweise Zertifikatswarnungen. Das ist definitiv nicht zu empfehlen. Zitieren Link zu diesem Kommentar
hermann1514 11 Geschrieben 21. Januar 2016 Autor Melden Teilen Geschrieben 21. Januar 2016 Also wäre es doch besser eine neue CA zu installieren - wenn es nicht so viele selbst signierte Zertifikate gibt. Gibt es denn für die Installation einer 2. CA auch ein Anleitung oder ist Installation genauso wie die erste CA? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 21. Januar 2016 Melden Teilen Geschrieben 21. Januar 2016 Ich hoffe nicht, dass du die neue CA auf dem DC, wie die erste CA installierst sondern auf einer eigenen Maschine. Wie du die CA installierst kommt auf die Anforderungen an die CA an. Zitieren Link zu diesem Kommentar
hermann1514 11 Geschrieben 21. Januar 2016 Autor Melden Teilen Geschrieben 21. Januar 2016 Nö, die neue CA wird auf einem dedizierte Windows Server2012R2 installiert. Es gibt eigentlich keine speziellen Anforderungen. Die Zertifikate die ausgestellt sind, sind nur WEBSERVER Zertifikate. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.