PKI Wechsel ohne AD

[Theese 0]

Hallo zusammen,

 

ich habe da ein paar Fragen bzgl. PKI Umzug zu einem neuen Server. Ich würde mich freuen wenn mir dazu jemand etwas helfen könnte.

Laut Google gibt es so einige Anleitungen zu einem erfolgreichem Umzug einer PKI (zB: https://pits-online.info/2010/12/23/windows-root-zertifizierungsstelle-migrierenumziehen/  oder http://hope-this-helps.de/serendipity/archives/430-ActiveDirectroy-CA-Umzug-auf-neuen-Server-mit-neuem-Namen.html).

 

Ich würde aber gerne nur eine bestehende PKI von unserem aktuellem DC1 entfernen und auf einen separaten Zert-Server ablegen. 

Laut Anleitung Theoretisch machbar, ich weiß aber nicht wie sich das danach verhält mit der AD auf dem DC1. Ob diese dann noch funktioniert, oder ob da noch was weiteres angepasst werden muss.

 

Ich würde mich um eine kleine Hilfestellung freuen.

 

MfG

[zahni 558]

Hallo und willkommen im Forum.

 

Eigentlich ist hier  alles beschrieben: https://blogs.technet.microsoft.com/canitpro/2014/11/11/step-by-step-migrating-the-active-directory-certificate-service-from-windows-server-2003-to-2012-r2/

 

Viel mehr kann man eigentlich, ohne eine konkretes  Problem, nicht schreiben.

[NilsK 2.968]

Moin,

 

der DC wird durch das Entfernen der PKI nicht beeinträchtigt.

 

Gruß, Nils

[Theese 0]

Vielen dank für die schnelle Antwort,

 

wenn ich das Howto richtig lese, kann ich im Endeffekt das Zertifikat einfach auf einen anderen Server schieben/registrieren ohne das ich den Servernamen speziell noch im Zertifikat anpassen muss.

Desweiteren muss im Anschluss für alle Geräte (Aktuell PCs im LAN/WLAN) ein neues PC Zertifikat verteilen, mit dem die sich dann anmelden. 

Der DC an sich wird davon nicht berührt und auch in der eigentlichen AD muss nichts extra angepasst werden ? 

[zahni 558]

Falls Du die CRL und (falls verwendet) einen OCSP verwendest:

Hier könntest Du ein Problem mit dem Revocation-Check bekommen, wenn Du keinen DNS-Alias verwendet hast.

Denn den deren URLs ist in den bereits ausgestellten Zertifikaten enthalten.

Normalerweise ändert man nach dem Schwenk nur den DNS-Alias...

[Theese 0]

Da dies von einem Kollegen lange vor meiner Zeit aufgesetzt wurde, kann ich das so nicht sagen. Kannst du mir sagen wo ich das gegenprüfen kann @zahni ? 

Im Zertifikat oder im DNS?

[zahni 558]

Du schaut Dir unter Windows ein ausgestelltes Zertifikat an. Der Wert "Zugriff auf  Stelleninformationen" (wer auch immer das übersetzt hat).

[Theese 0]

Wenn ich das Stammzertifikat auf einen Client öffne, fehlt dieser Punkt in dem Zertifikat.

Wenn ich auf meine Zertifizierungsstelle gehe und in den Eigenschaften des Zertifikats nachprüfe ist unter Erweiterungen-Zugriff auf Stelleninformationen jeweils  <ServerDNSName> im Pfad eingetragen. 

[zahni 558]

Der fehlt komplett? Ungewöhnlich.  Bei Youtube steht  z.B.

 

[1]Stelleninformationszugriff
     Zugriffsmethode=Zertifizierungsstellenaussteller (1.3.6.1.5.5.7.48.2)
     Alternativer Name:
          URL=http://pki.google.com/GIAG2.crt
[2]Stelleninformationszugriff
     Zugriffsmethode=Onlinestatusprotokoll des Zertifikats (1.3.6.1.5.5.7.48.1)
     Alternativer Name:
          URL=http://clients1.google.com/ocsp

 

Dann kannst Du ungültige Zertifikate nicht sperren (z.B. von Usern)

[NilsK 2.968]

Moin,

 

OK, dann klingt das für mich, als sollte man die vorhandene PKI einfach wegwerfen und eine neue ordentlich aufbauen.

 

Gruß, Nils