Jump to content

Ablösung einer bestehenden CA durch neue CA

Ralph_S

Von Ralph_S
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ralph_S Proficient

Ralph_S   11

Geschrieben
Geschrieben

Guten Morgen zusammen, 

 

Ich hab mal eine Frage an die Zertifikatsspezialisten vom Board, und hoffe auf etwas Schwarmwissen und Erfahrung. Mit dem Thema CA und den verschiedenen Hierarchien etc. bin ich vertraut. Ich hab gerade nur die Frage wie man eine bestehende CA ( AD-Integrierte RootCA die absolut Standard installiert ist) durch eine neue PKI Infrastruktur ablöst. Es soll dannach eine Eigenständige Offline RootCA + AD-Integrierte SubCA implementiert werden. 

 

Für mich ist der einzige Sinnvolle Weg eine neuinstallation. Nur ist mir nicht ganz klar wie man hier den Brak zur alten sinnvoll vollzieht. 

 

Also die neue Paralell aufbauen oder die alte zu erste sauber decomissionieren und dann die neue installieren? 

Wie verhält sich das mit den Zertifikaten der alten wenn man Paralell aufbaut?

 

Aktuell werden Zertifikate für folgende Zwecke verwendet: Webserver, WLAN und LAN Zugriff, 2 Applikationsserver, 

 

Am meisten beschäftigt mich die Thematik des Netzwerkzugriffs beim wechseln der CAs. 

 

Falls jemand einen Artikel dazu kennt den ich übersehen habe gern einfach her damit. Aber die meisten How Tos die ich kenne gehen immer nur vom neuinstallieren aus aber nie von einer Ablösung einer bestehenden CA. 

 

Mir gehts auch nicht um ein volles How to eher um einen Denkanstoss 

 

Viele Grüße

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

"das kommt drauf an" ... ;)

 

Meist macht man es so:

  • Prüfen, welche Zertifikate der Alt-CA aktiv in Verwendung sind
  • Aufbauen einer neuen CA, hier: Offline-Root (Standalone) und Enterprise-Sub, neuer Name usw., also ganz neue Struktur
  • neue CA fertig konfigurieren und in Betrieb nehmen
  • auf der alten CA die Zertifikatsvorlagen deaktivieren, sodass sie keine neuen Zertifikate mehr ausstellt
  • bei Bedarf die Zertifikate der alten CA auf den Zielsystemen entfernen und neue von der neuen CA zuweisen, die Altzertifikate dann sperren
  • wenn keine Alt-Zertifikate mehr in Verwendung sind, die Alt-CA entfernen

Solange die Alt-CA noch gebraucht wird, bleibt sie in Betrieb, stellt aber keine neuen Zertifikate aus. Solange muss sie ihre Sperrlisten usw. noch aktualisieren und anbieten.

 

Wenn die Umgebung komplexer ist, kann das Verfahren ungeeignet sein, in kleinen und mittleren Umgebungen passt es aber meist.

 

Gruß, Nils

 

Link zu diesem Kommentar
zahni Grand Master

zahni   550

Geschrieben
Geschrieben

Hier gibt es doch Anleitungen:

https://blogs.technet.microsoft.com/canitpro/2014/11/11/step-by-step-migrating-the-active-directory-certificate-service-from-windows-server-2003-to-2012-r2/

 

Einziges Problem kann der Hostname für den Abruf der CRL sein. Hier gilt und alt die Empfehlung mit einem DNS-Alias zu arbeiten, den man später nur neu umbiegen muss.

Notfalls richtet man den alten Servernamen als DNS-Alias  ein.

Link zu diesem Kommentar
Ralph_S Proficient

Ralph_S   11

Geschrieben
  • Autor
Geschrieben

Danke an euch beide für die schnellen Antworten! 

 

@NilsK Das klingt wonach ich gesucht habe, wo mir der Denkanstoss gefehlt hat. Also die alte laufen lassen und die neue parallel betreiben und dann Stück für Stück die alte ausser Betrieb nehmen. 

 

@Zahni Der Weg wie ich eine CA von einer Windows Version auf eine neue Migriere war mir klar, aber ich kann das ja nicht nutzen um von einer Enterprise RootCA auf eine Standalone RootCA zu migrieren jedenfalls war es mir wenn es doch geht nicht klar. Zumal ich dann ja eine Standalone CA habe die, alle aktuell ausgestellten Zertifikate hat da würde es wenig Sinn machen diese offline zu nehmen oder seh ich grade den Wald vor Bäumen nicht?

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.027

Geschrieben
Geschrieben

Die Empfehlung kann ich ja nachvollziehen, aber wie Nils schon schrieb, müssen ja beide (oder drei) CAs ihre CRL publishen und dann ists im Endeffekt egal, ob man das an einem Ort oder an mehreren tut. Planen muss man es so oder so. Erfahrungsgemäß ist Schritt 1 und Schritt 5 aus Nils Aufzählung am zeitaufwändigsten, wenn man nicht nur Windows Systeme hat. Sobald aber Hardwarekomponenten (DELL, Cisco, HP) oder Linux und diverse Appliances dazukommen, die man alle händisch mit neuen Zertifikaten betanken muß, wird das leicht eine Laufzeit von über 12 Monaten, selbst in Umgebungen von nur 100 Usern.

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...