zahni 559 Geschrieben 18. April 2016 Melden Teilen Geschrieben 18. April 2016 Hi, ich hätte auch mal eine Frage an die Spezies, die das jeden Tag machen. Wir wollen unsere Windows CA auf Windows 2012 R2 migrieren und dabei den Server-Namen ändern. Wir haben damals in weiser Voraussicht (oder weil es in irgendeiner Anleitung so stand ;) ), die URL für die CRL und den OCSP mit einem DNS-Alias aufgesetzt. Kann man in diesem Fall den Server-Namen der CA gefahrlos ändern und dann den Alias umbiegen oder spielt der noch irgendwo eine Rolle? Danke im Voraus. -Zahni Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 18. April 2016 Melden Teilen Geschrieben 18. April 2016 Moin, ich verwende meistens A-Records. Da gab es bei der Migration und dem Ändern der IP der A-Records keine Probleme. Beim Alias sollte es genauso geschmeidig laufen. Jedenfalls wüsste ich nicht, was schief gehen sollte wenn AIA und CDP sauber gepflegt sind. Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 18. April 2016 Autor Melden Teilen Geschrieben 18. April 2016 Hi, danke. Ich denke mal darüber nach. Vielleicht lasse ich auch den alten Namen. Der ist halt so doof... ;) Bin gerade noch bei der Recherche was alles passieren kann, wenn man auf SHA-2 umstellt und ob man das Root-Zertifikat erneuern sollte... Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 18. April 2016 Melden Teilen Geschrieben 18. April 2016 SHA-2 kann lustig werden wenn noch alte Switches, Router etc. unterwegs sind. Für solche Exoten kann man sich ggf. noch eine Reste-Rampe-CA mit SHA-1 hinsetzen und die kritischen Dienste dennoch auf SHA-2 umstellen. Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 19. April 2016 Autor Melden Teilen Geschrieben 19. April 2016 Ich muss dass mal mit meinem Kollegen bereden. Wir setzen die CA z.Z. nur in einem begrenzten Rahmen ein. Wenn ich das richtig verstanden habe, muss man nicht zwangsläufig ein neues Root Zertifikat ausstellen. Sub-CAs haben wir z.Z. nicht (ja ich weis, Best Practice, und so). Ein Problems könnte dann nur noch die CRL sein, die mit SHA256 signiert wird. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 19. April 2016 Melden Teilen Geschrieben 19. April 2016 Solange das Root Zertifikat noch gültig, gibt es keinen Zwang zur Erneuerung. Es gibt noch jede Menge öffentlicher CAs mit SHA-1 und sogar einige mit MD5 Signatur :cry: Das ist der Nachteil wenn man nur eine Root ohne SubCAs hat. Da geht nur ganz oder gar nicht. Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 25. April 2016 Autor Melden Teilen Geschrieben 25. April 2016 So, das hat soweit geklappt. Dieser Wizard von 2012R2 hat zwar mal eben ein neues Root-Zertifikat erzeugt, das könnte man aber löschen. Vielleicht habe ich auch irgendwas falsch angeklickt. Mit PKIVIEW.MSC konnte ich es dann noch sauber im AD entfernen. Ansonsten klappt alles wieder samt OCSP und geändertem Servernamen. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 26. April 2016 Melden Teilen Geschrieben 26. April 2016 Der liebe Wizard ist immer für Überraschungen gut :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.