Garant 3 Geschrieben 16. November 2020 Melden Teilen Geschrieben 16. November 2020 Hallo, auf einem Domain-Controller ist die Zertifizierungsstelle installiert. Dieser DC soll nun aber heruntergestuft und abgeschaltet werden. Ich kann mir nicht erklären, wofür diese Zertifizierungsstelle im Unternehmen benötigt wird und gehe davon erstmal von einer Testinstallation vom Vorgänger aus. Im Bereich "Ausgestellte Zertifikate" sehe ich allerdings Zertifikat vom Typ Domänencontroller, wo ich mir nun unsicher bin, ob ich diese CA direkt entfernen darf oder nicht auch auf einen anderen DC/Server migrieren sollte? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 16. November 2020 Melden Teilen Geschrieben 16. November 2020 (bearbeitet) Moin, wenn die DC-Zertifikate die einzigen sind, die dort ausgestellt wurden, kannst du die CA im Prinzip einfach löschen. Domänencontroller besorgen sich automatisch Zertifikate von einer Enterprise CA, sobald sie diese im AD finden. In dem Fall solltest du natürlich die betreffenden Zertifikate von den DCs löschen, bevor du die CA entfernst, denn sonst werden die DCs Fehler melden, weil sie die Gültigkeit der Zertifikate nicht überprüfen können. Im Hinblick auf diverse Sicherheitseinstellungen im eigenen Netzwerk, insbesondere für DCs, könnte es allerdings sinnvoll sein, auch künftig eine PKI zu betreiben. Es gibt ja möglicherweise auch interne Web-Applikationen, die per TLS abzusichern wären (und seien es nur Adminzugänge). Dann allerdings rate ich dazu, eine PKI nach Best Practice zu entwerfen und aufzubauen, bevor die alte entfernt wird. Eine Migration der alten CA sehe ich als unnötig an, wenn sie wirklich nur die oben genannten Zertifikate ausgestellt hat. Zum Entfernen der Alt-PKI beachte, dass diese auch aus dem AD gelöscht werden sollte, Anleitungen dazu findest du im Web. Vorsichtshalber sei noch mal ausdrücklich erwähnt, dass man eine CA nicht auf einem DC installiert. Gruß, Nils PS. wie viele DCs habt ihr denn, dass da laufend neue Zertifikate ausgestellt werden? bearbeitet 16. November 2020 von NilsK Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 16. November 2020 Autor Melden Teilen Geschrieben 16. November 2020 Hallo Nils, danke für die ausführliche Antwort. Ich habe noch einmal geschaut, welcher Arten von Zertifikaten ausgestellt sind. Dabei handelt es sich zum Großteil um die Domänencontrollerzertifikate und außerdem um Zertifikate vom Typ Basis-EFS, Codesignatur (aber alt). Wenn ich die CA aber lösche, existiert ja keine weitere CA im Netzwerk, also auch keine Enterprise CA. Oder wo kommen die dann genau her? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. November 2020 Melden Teilen Geschrieben 16. November 2020 Abgesehen davon bedeutet das aber auch, dass ab dem Zeitpunkt der Deinstallation der CA dann auch kein LDAPS mehr möglich sein wird (spätestens nach Ablauf der derzeitigen Zertifikate). Und ich seh da auch Basis EFS Zertifikate. ;) vor 1 Minute schrieb Garant: Oder wo kommen die dann genau her? Wer? Ohne CA keine Zertifikate. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 16. November 2020 Melden Teilen Geschrieben 16. November 2020 (bearbeitet) Moin, wenn du nur den CA-Server löschst oder abschaltest, bleiben die Einträge dazu im AD erhalten. Daher der Verweis auf die Anleitungen. Eine Enterprise CA ist in der AD-Konfiguration eingetragen. Edit: Natürlich ist vor dem Löschen zu prüfen, ob die ausgestellten Zertifikate tatsächlich nicht mehr gebraucht werden. Siehe Norberts Hinweis und das, was ich dazu schrob. "Zum Großteil" finde ich da eine etwas unvollständige Einschätzung. Bevor du auf der Basis Schaden anrichtest, hol dir lieber jemanden, der das mit dir migriert bzw. ein Vorgehen zur Ablösung entwirft. Gruß, Nils bearbeitet 16. November 2020 von NilsK Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 16. November 2020 Autor Melden Teilen Geschrieben 16. November 2020 vor 8 Minuten schrieb NilsK: PS. wie viele DCs habt ihr denn, dass da laufend neue Zertifikate ausgestellt werden? 11 Stück vor 2 Minuten schrieb NorbertFe: Abgesehen davon bedeutet das aber auch, dass ab dem Zeitpunkt der Deinstallation der CA dann auch kein LDAPS mehr möglich sein wird (spätestens nach Ablauf der derzeitigen Zertifikate). Und ich seh da auch Basis EFS Zertifikate. ;) Die EFS-Zertifikate habe ich auch gesehen. Nutzen aber kein Encryption File System. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. November 2020 Melden Teilen Geschrieben 16. November 2020 vor 12 Minuten schrieb Garant: Nutzen aber kein Encryption File System. Dann dürften auch keine Zertifikate da sein. Der Antragsteller (steht ja im Zertifikat) hat aber mal EFS angehakt. Du kannst also nicht ausschließen, dass es EFS verschlüsselte Datenbestände gibt. ;) Also nicht so absolut verneinen. Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 16. November 2020 Autor Melden Teilen Geschrieben 16. November 2020 Gerade eben schrieb NorbertFe: Dann dürften auch keine Zertifikate da sein. Der Antragsteller (steht ja im Zertifikat) hat aber mal EFS angehakt. Du kannst also nicht ausschließen, dass es EFS verschlüsselte Datenbestände gibt. ;) Also nicht so absolut verneinen. Der Antragssteller bei den Basis-EFS-Zertifikaten bin unter anderem ich und zwei Benutzer, wo ich es mir noch weniger vorstellen kann. Kann dies evtl. auch durch Drittherstellersoftware kommen? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. November 2020 Melden Teilen Geschrieben 16. November 2020 (bearbeitet) vor 1 Minute schrieb Garant: wo ich es mir noch weniger vorstellen kann. Kann dies evtl. auch durch Drittherstellersoftware kommen? Nein. Und warum ist das so schwer vorstellbar? Es reicht den Haken "Datei verschlüsseln" zu setzen. Das kann fast jeder Nutzer. Abgesehen davon war das nur ein Hinweis, dass man ggf. drauf achten sollte, denn einen Zweck haben die meisten Zertifikate. Auch wenn er sich vielen nicht erschließen mag. :) bearbeitet 16. November 2020 von NorbertFe Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 16. November 2020 Autor Melden Teilen Geschrieben 16. November 2020 Gerade eben schrieb NorbertFe: Nein. Und warum ist das so schwer vorstellbar? Es reicht den Haken "Datei verschlüsseln" zu setzen. Das kann fast jeder Nutzer. Kann ich irgendwo nachvollziehen, wo eine Datei damit versehen wurde? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. November 2020 Melden Teilen Geschrieben 16. November 2020 Gerade eben schrieb Garant: Kann ich irgendwo nachvollziehen, wo eine Datei damit versehen wurde? Eher nein. :) Mittels cipher kann man durchgehen, aber da müßtest du dann schon jeden PC (an dem diese Nutzer mal gesessen haben) und ggf. auch die Fileserver durchflöhen. https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/cipher Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 16. November 2020 Melden Teilen Geschrieben 16. November 2020 Moin, nicht ohne Weiteres, nein. Das müsstest du dir auf den Rechnern ansehen, an denen die drei User arbeiten. Wenn ihr EFS nicht nutzt, solltet ihr es ausdrücklich abschalten, sonst erzeugt ihr damit Probleme. Ad hoc würde es aber auch ausreichen, dass die drei User, um die es geht, ihre EFS-Zertifikate vorsichtshalber exportieren (mit Private Key). Damit wäre es im Notfall möglich, Dateien wieder zu entschlüsseln. Gruß, Nils Zitieren Link zu diesem Kommentar
Garant 3 Geschrieben 16. November 2020 Autor Melden Teilen Geschrieben 16. November 2020 Gerade eben schrieb NorbertFe: Eher nein. :) Mittels cipher kann man durchgehen, aber da müßtest du dann schon jeden PC (an dem diese Nutzer mal gesessen haben) und ggf. auch die Fileserver durchflöhen. https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/cipher Hmmm. Ok. :) Das Ablaufdatum ist allerdings nur bei meinem pers. Konto erst im nächsten Jahr, die anderen Basis-EFS Zertifikate sind schon abgelaufen. Von daher würde ich hier eher sagen, dass das auch vernachlässigt werden kann? Gesehen hab ich übrigens noch zwei Webserver-Zertifikate für Exchange. Für den IIS wurden da mal welche generiert. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 16. November 2020 Melden Teilen Geschrieben 16. November 2020 (bearbeitet) Moin, okay - dann hast du jetzt hoffentlich gelernt, dass man bei so einem System genauer hinsehen sollte. Deine bisherigen Aussagen zur Nutzung waren dann ja nicht ganz korrekt. Ich empfehle daher, dass du dir jemanden ins Haus holst, der sich mit der Thematik auskennt, und mit dem ein Vorgehen entwickelst. Das ist kein Hexenwerk, erfordert aber mehr Detailarbeit, als es in einem Forum sinnvoll ist. (Gerechnet in wenigen Tagen, nur damit du eine Größenordnung hast.) Gruß, Nils PS. 11 DCs? Wie groß ist denn die Umgebung? Falls sie wirklich so groß ist, dass ihr 11 DCs braucht, dann ziehe ich meine Ersteinschätzung ausdrücklich zurück und rate entschieden dazu, dass ihr euch Know-how ins Haus holt. bearbeitet 16. November 2020 von NilsK Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.