Ralph_S 11 Geschrieben 22. Oktober 2018 Melden Teilen Geschrieben 22. Oktober 2018 Guten Morgen zusammen, Ich hab mal eine Frage an die Zertifikatsspezialisten vom Board, und hoffe auf etwas Schwarmwissen und Erfahrung. Mit dem Thema CA und den verschiedenen Hierarchien etc. bin ich vertraut. Ich hab gerade nur die Frage wie man eine bestehende CA ( AD-Integrierte RootCA die absolut Standard installiert ist) durch eine neue PKI Infrastruktur ablöst. Es soll dannach eine Eigenständige Offline RootCA + AD-Integrierte SubCA implementiert werden. Für mich ist der einzige Sinnvolle Weg eine neuinstallation. Nur ist mir nicht ganz klar wie man hier den Brak zur alten sinnvoll vollzieht. Also die neue Paralell aufbauen oder die alte zu erste sauber decomissionieren und dann die neue installieren? Wie verhält sich das mit den Zertifikaten der alten wenn man Paralell aufbaut? Aktuell werden Zertifikate für folgende Zwecke verwendet: Webserver, WLAN und LAN Zugriff, 2 Applikationsserver, Am meisten beschäftigt mich die Thematik des Netzwerkzugriffs beim wechseln der CAs. Falls jemand einen Artikel dazu kennt den ich übersehen habe gern einfach her damit. Aber die meisten How Tos die ich kenne gehen immer nur vom neuinstallieren aus aber nie von einer Ablösung einer bestehenden CA. Mir gehts auch nicht um ein volles How to eher um einen Denkanstoss Viele Grüße Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. Oktober 2018 Melden Teilen Geschrieben 22. Oktober 2018 Moin, "das kommt drauf an" ... ;) Meist macht man es so: Prüfen, welche Zertifikate der Alt-CA aktiv in Verwendung sind Aufbauen einer neuen CA, hier: Offline-Root (Standalone) und Enterprise-Sub, neuer Name usw., also ganz neue Struktur neue CA fertig konfigurieren und in Betrieb nehmen auf der alten CA die Zertifikatsvorlagen deaktivieren, sodass sie keine neuen Zertifikate mehr ausstellt bei Bedarf die Zertifikate der alten CA auf den Zielsystemen entfernen und neue von der neuen CA zuweisen, die Altzertifikate dann sperren wenn keine Alt-Zertifikate mehr in Verwendung sind, die Alt-CA entfernen Solange die Alt-CA noch gebraucht wird, bleibt sie in Betrieb, stellt aber keine neuen Zertifikate aus. Solange muss sie ihre Sperrlisten usw. noch aktualisieren und anbieten. Wenn die Umgebung komplexer ist, kann das Verfahren ungeeignet sein, in kleinen und mittleren Umgebungen passt es aber meist. Gruß, Nils Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 22. Oktober 2018 Melden Teilen Geschrieben 22. Oktober 2018 Hier gibt es doch Anleitungen: https://blogs.technet.microsoft.com/canitpro/2014/11/11/step-by-step-migrating-the-active-directory-certificate-service-from-windows-server-2003-to-2012-r2/ Einziges Problem kann der Hostname für den Abruf der CRL sein. Hier gilt und alt die Empfehlung mit einem DNS-Alias zu arbeiten, den man später nur neu umbiegen muss. Notfalls richtet man den alten Servernamen als DNS-Alias ein. Zitieren Link zu diesem Kommentar
Ralph_S 11 Geschrieben 22. Oktober 2018 Autor Melden Teilen Geschrieben 22. Oktober 2018 Danke an euch beide für die schnellen Antworten! @NilsK Das klingt wonach ich gesucht habe, wo mir der Denkanstoss gefehlt hat. Also die alte laufen lassen und die neue parallel betreiben und dann Stück für Stück die alte ausser Betrieb nehmen. @Zahni Der Weg wie ich eine CA von einer Windows Version auf eine neue Migriere war mir klar, aber ich kann das ja nicht nutzen um von einer Enterprise RootCA auf eine Standalone RootCA zu migrieren jedenfalls war es mir wenn es doch geht nicht klar. Zumal ich dann ja eine Standalone CA habe die, alle aktuell ausgestellten Zertifikate hat da würde es wenig Sinn machen diese offline zu nehmen oder seh ich grade den Wald vor Bäumen nicht? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 22. Oktober 2018 Melden Teilen Geschrieben 22. Oktober 2018 Die Empfehlung kann ich ja nachvollziehen, aber wie Nils schon schrieb, müssen ja beide (oder drei) CAs ihre CRL publishen und dann ists im Endeffekt egal, ob man das an einem Ort oder an mehreren tut. Planen muss man es so oder so. Erfahrungsgemäß ist Schritt 1 und Schritt 5 aus Nils Aufzählung am zeitaufwändigsten, wenn man nicht nur Windows Systeme hat. Sobald aber Hardwarekomponenten (DELL, Cisco, HP) oder Linux und diverse Appliances dazukommen, die man alle händisch mit neuen Zertifikaten betanken muß, wird das leicht eine Laufzeit von über 12 Monaten, selbst in Umgebungen von nur 100 Usern. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 22. Oktober 2018 Melden Teilen Geschrieben 22. Oktober 2018 Moin, ja, das ist das, was ich mit meinem ersten Satz meinte. ;) Vielleicht muss man migrieren, vielleicht auch nicht. Das kann man aus der Ferne schlecht beurteilen. Aus Erfahrung kann ich nur sagen, dass man in mittelständischen Umgebungen fast nie migriert und in größeren nur manchmal. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.