Neue Zertifizierungsstelle, Zertifikatsvorlage noch auf altem Server? Wie umiehen?

[MaikHSW 13]

Hey zusammen,

ich hatte auf einem AD-Controller zugleich meine CA.

Leider war die, warum auch immer, auf zwei Jahre begrenzt und würde demnächst ablaufen.

Da es keine untergeordnet CA war konnte das Zertifikat auch nich verlängert werden.

Daher habe ich eine neue CA auf einem anderen DC installiert und diese Zertifikate ausstellen lassen.

Alle Systeme haben mittlerweile per GPO die neuen Zertifikate erhalten und ich habe die bisherige CA deinstalliert.

 

Nun musste ich aber heute in die Zertifikatvorlagen schauen, habe dazu eine mmc geöffnet und sehe noch den alten Server als Quelle drinstehen.
Das ist natürlich nicht im Sinn des Erfinders, die würde ich gerne mitnehmen auf den anderen Server um keine unnötige Abhängigkeit zu schaffen.

Wie mache ich dies bzw. was hätte ich anders machen können?

 

Vielen Dank.

 

 

Gruß

 

 

 

[Nobbyaushb 1.484]

Jetzt gar nicht mehr, da deinstalliert - jedenfalls mein Kenntnisstand 

[NorbertFe 2.089]

vor 3 Minuten schrieb MaikHSW:

Da es keine untergeordnet CA war konnte das Zertifikat auch nich verlängert werden.

Auch bei einer Root ca kann man das Zertifikat ersetzen. ;) und cas haben nichts auf einem Dc verloren. Wenn das beides Enterprise cas waren, ist es doch normal, dass man die zertifikatsvorlagen auf allen sieht. Sind ja ad integriert. 

[MaikHSW 13]

Hey zusammen.

@Nobbyaushb: Also im Tatendrang mal wieder alles falsch gemacht? :-P Na super.

@NorbertFe: Na toll. Mehrere Leute (unter anderem große Dienstleister) haben mir gesagt, das nicht. Verlässt man sich einmal auf Dienstleister....  Nee, ich sehe sie eben nicht auf allen. Wenn ich die mmc öffne und das Snap-In Vorlagen hinzufüge sehe ich nur den einen AD-Controller. Somit glaube ich, dass das noch ein Überbleibsel ist. Notfalls lebe ich halt (erstmal) mit der Verbindung und dokumentiere sie ordentlich.

 

 

Gruß

 

[NorbertFe 2.089]

Tja falscher Dienstleister. Und eine ca zu installieren ohne wenigstens die absoluten Grundlagen nachzulesen... ich würde darüber mal nachdenken und ggf. Jemanden dazuholen. Evtl. Kann man dann erstens was lernen und zweitens sogar noch sinnvoller einsetzen als das bisher evtl. bekannt ist.

[NorbertFe 2.089]

Achso noch als Lektüre, damit dir irgendwann nicht die dcs ausgehen ;)

 

https://blogs.technet.microsoft.com/xdot509/2013/06/06/operating-a-windows-pki-renewing-ca-certificates/

[MaikHSW 13]

Hey @NorbertFe,

ich bin noch auf der Suche nach einem guten Dienstleister.

Für andere Teilbereiche konnte ich schon jemanden hier im Forum finden und bin super zufrieden.

Leider habe ich da echt auf das falsche Pferd gesetzt und hätte ich das gewusst....

Vielen Dank für den Link, ich mag mich da auch tiefer einarbeiten.

Weil sowas sollte nur einmal passieren

 

 

Gruß

[NilsK 2.968]

Moin,

 

also, ich wüsste jemanden, der sich recht intensiv mit Windows-PKI befasst ...

 

Aber vermutlich ist das nur ein Verständnisproblem. Die Vorlagen bei einer Enterprise-CA zwar im AD veröffentlicht, aber  dadurch stehen sie noch nicht auf einem konkreten CA-Server zur Verfügung. Du musst die Vorlagen, die deine CA tatsächlich anbieten soll, zuerst dort aktivieren.

 

Eine CA installiert man nicht auf einem DC. Die Empfehlung gilt schon seit bald 20 Jahren.

 

Gruß, Nils

PS. Es gibt neben einigen Leuten hier im Board, die das können ;) auch ein gutes Buch zum Thema bei Rheinwerk.