2008R2 DC - Zertifizierungsstellenzertifikat / DC läuft ab - Problem beim erneuern?!

[holzapfel 10]

Hallo zusammen,

 

 

 

ich bin gerade beim Vorbereiten einer Migration auf einen 2008R2 DC (alleiniger DC) auf ein paar Probleme gestoßen...

 

Im Servermanager sehe ich unter den Active Directory-Zertifikatdiensten, dass der Zertifizierungsstellenzertifikat 

in wenigen Tagen abläuft. Ebenso der AIA-Speicherort #1 (das sagt mir jetzt nichts)

 

Das Zertifikat wurde vom Datum her vermutlich beim letzten Updaten von 2003 auf 2008

erzeugt - mit der Laufzeit von 5 Jahren.

 

Ich sehe unter den Fehlgeschlagenen Anforderungen

"ID - 13

 

Der Erneuerungszeitraum ist länger als der Gültigkeitszeitraum des Zertifikats. Die Vorlage oder das CA Zertifikat sollten neu

konfiguriert werden. 0x80094814 (-2146875372)

 

Verweigert vom Richtlinienmodul

 

Datum: Vor 10 Tagen

 

Zertifikatsvorlage: Domänencontroller"

 

 

 

Ich hätte jetzt mal selbst google bemüht... Kann es sein, dass das Problem war - dass normal neue Zertifikate nicht so lange laufen dürfen?

 

Ich hätte jetzt mal mit:

 

certutil rum gespielt. Aber die Verlängerung hier klappt auch nicht. (certutil -resubmit)

 

 

Die alte Anforderung kann ich auch nicht irgendwie löschen - oder auch nicht das vorhandene verlängern :(

 

 

Hat jemand einen Tipp was ich machen könnte? Ich hatte bisher mit dem Thema noch nie Probleme.

Welche Folgen hätte es in dem Fall überhaupt, wenn das ganze abläuft?

 

 

 

Besten Dank für jede Hilfe

 

 

viele Grüße

 

 

 

 

[testperson 1.674]

Hi,

 

prüfe doch einfach mal, welche Zertifikate deine CA ausgestellt hat und wofür. Ggfs. wäre es dann am einfachsten, wenn du die alte einfach deinstallierst und sofern wirklich benötigt, eine neue CA nicht auf einem DC installierst.

 

Gruß

Jan

bearbeitet 27. Dezember 2017 von testperson

[holzapfel 10]

Guten Morgen,

 

also so wie ich die Zuordnung sehe (Screenshot) ist das Zertifikat eh nicht in Verwendung?

 

Auf das AD oder sonst was könnte das Neuinstallieren keine negativen Auswirkungen haben? Das Zertifikat mit den selben Daten nach dem Ablauf zu verlängern wäre ja vermutlich schwierig.

 

Wobei der Server eh durch einen aktuellen 2016DC ersetzt wird - da könnte man das ganze auch einfach

laufen lassen um sich die Mühen zu sparen.

 

Besten DANK!

 

viele Grüße

[NilsK 2.930]

Moin,

 

die Ansicht, die du gepostet hast, sagt hier nichts aus. Schau in der CA-Konsole nach, welche Zertifikate die CA tatsächlich ausgestellt hat. Wie Jan vermute ich auch, dass die CA in Wirklichkeit gar nicht benötigt wird. Dann wäre es am einfachsten, die CA-Dienste zu deaktivieren und die CA nicht zu migrieren.

 

Und, ebenfalls wie Jan sagt, wenn du dann doch eine neue CA brauchst, dann lass dir diese richtig konzipieren und installiere sie auf einem separaten Server (bzw. mehreren).

 

Gruß, Nils

[holzapfel 10]

Guten Morgen,

 

 

Also ich vermute das ja auch - aber wäre beruhigter, wenn mir diese Vermutung jemand bestätigen könnte.

Es werden in der Firma weder Smartcards, EFS, IPSec mit den Zertifikaten, Email Verschlüsselung usw. verwendet.

 

Das einzige Zertifikat, das meines Wissens überhaupt da aktiv läuft ist das vom Exchange Server.

 

Ich habe mal noch einen neuen Screen angefügt - ich hoffe, damit kann man mehr anfangen?

Sonst reiche ich natürlich jede nötige Info nach, ich bin ja super froh, wenn mir jemand weiterhelfen kann.

 

Nochmals Danke und viele Grüße

 

 

 

 

bearbeitet 29. Dezember 2017 von holzapfel

[tesso 375]

Du solltest die ausgestellten Zertifikate zeigen und dir anschauen.

[holzapfel 10]

gerade noch hinzugefügt :) - sorry

 

 

In den Ausstehenden Anforderungen ist nichts zu finden - in den fehlgeschlagenen finde ich die entsprechende Fehlermeldung die ich oben gepostet habe:

 

 

 

 

 

bearbeitet 29. Dezember 2017 von holzapfel

[Nobbyaushb 1.464]

War / ist da noch ein SBS im Spiel?

 

Du hast geschrieben zu 2008R2 - ist auch schon was alt....

 

Und ja, wenn sonst nichts läuft, würde die CA dann auch wegwerfen.

 

Ich hoffe, das Exchange-Zertifikat ist von extern ausgestellt.

 

;)

[holzapfel 10]

Nein. Vor vielen vielen Jahren ist da nur mal von 2003 auf 2008R2 upgedatet worden. Oben habe ich das leider falsch geschrieben - jetzt soll

auf 2016 upgedatet werden :)

 

Das Exchange Zertifikat ist schon von Extern - wurde aber ja auf/für die Exchange-Dienste / IIS auf dem Exchange Server ja ausgestellt.

 

Vielen Dank für die Hilfe an alle - jetzt kann ich wieder beruhigt am Test des Updates weiter arbeiten!

[zahni 550]

Kleiner Hinweis: Die DCs rufen sich  automatisch  Zertifikate ab  wenn eine CA vorhanden ist., u.a. für LDAPS.

Was passiert eigentlich damit, wenn man eine CA "wegwirft". Werden sie automatisch auf "selbst signiert" umgestellt?

[NilsK 2.930]

Moin,

 

wenn der DC kein Zertifikat von einer CA bekommt, dann gibt es kein LDAPS. Selbstsigniert wäre unsinnig, dem kann ja kein Client ohne Weiteres vertrauen.

 

Die tatsächliche Entscheidung, ob die CA (vorläufig) wegkann, können wir dem TO nicht abnehmen. Wir können nur Hinweise geben, die aufgrund von Forumsinformationen auch nicht umfassend oder vollständig sein können. Es steht dem TO ja frei, sich kompetente Beratung einzukaufen, wenn er konzeptionell begründet vorgehen will.

 

Gruß, Nils