Abacus08 1 Geschrieben 13. Januar 2021 Melden Teilen Geschrieben 13. Januar 2021 Hallo Zusammen, ich plane unsere Stammzertifizierungsstelle (Basis: Windows 2008r2) auf Windows 2019 zu migrieren. Wir haben aber eine Root-CA und eine SUB-CA. Alle Infos, die ich bisher finden konnte, bezogen sich auf eine "reine" Root-CA. Leider ist mir nicht ganz klar, ob ich erst die Root-CA oder erst SUB-CA migrieren sollte/muss und hoffe auf Eure Unterstützung. Hat einer von Euch so eine Migration schon einmal durchgeführt und kann mir ein paar Tipps geben? Gruß Willi 1 Zitieren Link zu diesem Kommentar
Beste Lösung cj_berlin 1.342 Geschrieben 13. Januar 2021 Beste Lösung Melden Teilen Geschrieben 13. Januar 2021 Moin, wenn die Signierfunktion bei beiden CAs bereits auf SHA256 oder höher upgedated wurde und es Dir um das reine Betriebssystem-Upgrade geht, ist es wurscht, in welcher Reihenfolge Du das machst. Ich würde immer mit der Root anfangen, aber das wäre in diesem Fall keinem technischen Grund geschuldet, sondern der Gewohnheit. Falls die Issuing CA kurzlebige Zertifikate per Autoenrollment ausstellt (Stichwort 802.1X) solltest Du die Downtime für diesen Anwendungsfall ankündigen, denn Deine Migration wird viel geschmeidiger, wenn die 2019er Maschinen die Computernamen der alten Server erben. 1 Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 13. Januar 2021 Melden Teilen Geschrieben 13. Januar 2021 Oder man nutzt einen Alias (ab jetzt, wenn noch nicht passiert) für die Server. Zitieren Link zu diesem Kommentar
cj_berlin 1.342 Geschrieben 13. Januar 2021 Melden Teilen Geschrieben 13. Januar 2021 vor 4 Minuten schrieb Dukel: Oder man nutzt einen Alias (ab jetzt, wenn noch nicht passiert) für die Server. Das musst Du jetzt bitte erklären. Die Config ist doch trotzdem an den Maschinennamen gebunden und muss umgeschrieben werden, wenn sich dieser ändert... Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 13. Januar 2021 Melden Teilen Geschrieben 13. Januar 2021 (bearbeitet) Moin, man könnte bzw. sollte in der Situation auch prüfen, ob eine Migration überhaupt sinnvoll ist oder ob man die bestehende CA auslaufen lässt und durch eine neue ersetzt. Je nachdem, wie "gut" das derzeitige Konstrukt entworfen, eingerichtet und gepflegt ist, kann der Neuaufbau durchaus sinnvoller sein. Das hängt allerdings von einer Reihe von Faktoren ab, die man in einem Forum nicht behandeln will. Wenn es tatsächlich nur um eine Migration "von Server zu Server" geht, ist das eigentlich ein simpler Vorgang, der bei Microsoft auch gut dokumentiert ist. Gruß, Nils bearbeitet 13. Januar 2021 von NilsK Ja, ich heiße Nils, nicht Niös. *lol* 2 Zitieren Link zu diesem Kommentar
Abacus08 1 Geschrieben 19. Januar 2021 Autor Melden Teilen Geschrieben 19. Januar 2021 Bin leider erst heute wieder online. Deshalb erst jetzt meine Reaktion. Danke für die informativen Rückmeldungen Dann sollte es hoffentlich kein "Problem" geben. Vielen Dank Willi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.