wznutzer 35 Geschrieben 2. Oktober 2023 Melden Teilen Geschrieben 2. Oktober 2023 Hallo, für einen ausschließlich intern von Domänen-Clients genutzten IIS wollte ich ein Zertifikat ausstellen. Das klappt soweit auch, nur hat das Zertifikat der Standardvorlage (Webserver) eine Schlüssellänge von nur 1024. Das mögen nun die Browser nicht. Die Zertifizierungsstelle wurde immer wieder migriert. Wenn ich nun das Template dupliziere um Anpassungen vorzunehmen hängt sich die ganze MMC auf, sobald ich beim duplizierten Template das Register Kryptografie anwähle. Auch nach einer Wartezeit von über einer Stunde ändert sich nicht. In den Eventlogs wird nichts protokolliert. Auffällig ist noch, dass der Dienst Zertifikatverteilung (CertPropSvc) sich nicht beenden / neu starten lässt. In meiner Testumgebung geht das. Kenn das jemand von euch? Danke Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Oktober 2023 Melden Teilen Geschrieben 2. Oktober 2023 vor 1 Minute schrieb wznutzer: Kenn das jemand von euch? Nein, und je nachdem wie die "migriert" wurde, könnte man ggf. über eine Neuinstallation mit Datenübernahme reden? Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 2. Oktober 2023 Autor Melden Teilen Geschrieben 2. Oktober 2023 vor 6 Minuten schrieb NorbertFe: könnte man ggf. über eine Neuinstallation mit Datenübernahme reden? Ja, aber wäre der Ablauf anders als bei der Übernahme vom W2K12R2? Zertifizierungsstelle sichern inkl. privatem Schlüssel und Zertifizierungsstellenzertifikat Registry-Key sichern: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration hier beschrieben: https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/move-certification-authority-to-another-server Zertifizierungsstelle deinstallieren Dann Zertifizierungsstelle wieder installieren (jetzt auf dem gleichen Server, bei der Migration auf einem neuen) Zertifikatedienst beenden Registry-Key importieren (hat sich der Name geändert CaServerName vorher anpassen) Nun mit der Assistent das Backup wiederherstellen Server neu starten Müsste ich irgendwas anders machen? Danke Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Oktober 2023 Melden Teilen Geschrieben 2. Oktober 2023 vor 9 Minuten schrieb wznutzer: Ja, aber wäre der Ablauf anders als bei der Übernahme vom W2K12R2? Nein, aber da du oben nur Migration geschrieben hast, könnte das ja auch einfach ein Inplace Update gewesen sein. Wer den Namen der CA ändert, sollte vorher genau wissen, welche Auswirkungen das haben kann. Insofern würde ich im Worst Case einfach die ganze CA entsorgen und eine neue aufsetzen. Da kann man dann sicherlich auch gleich nach best practises vorgehen. ;) Bye Norbert Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 2. Oktober 2023 Melden Teilen Geschrieben 2. Oktober 2023 Hi, für den einen IIS eine CA? Kannst du nicht eine Host-Zone mit "routbarem" FQDN bei euch im "internen" DNS anlegen und dir dann per Let's Encrypt oder von einer anderen CA ein öffentlichen Zertifikat organisieren? Gruß Jan 1 Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 2. Oktober 2023 Autor Melden Teilen Geschrieben 2. Oktober 2023 vor 5 Minuten schrieb NorbertFe: Wer den Namen der CA ändert, sollte vorher genau wissen, welche Auswirkungen das haben kann. Die CA heißt noch gleich, aber der Server auf dem die CA läuft hat einen anderen Namen. Weil Microsoft das so beschrieben hat, dachte ich, das sei kein Problem vor 7 Minuten schrieb testperson: für den einen IIS eine CA? Kannst du nicht eine Host-Zone mit "routbarem" FQDN bei euch im "internen" DNS anlegen und dir dann per Let's Encrypt oder von einer anderen CA ein öffentlichen Zertifikat organisieren? Das ist Plan B um den IIS schnell zum Laufen zu bringen. Aber eine kaputte CA will ich auch nicht dauerhaft haben. Es sind halt EFS-Zertifikate ausgestellt, deswegen habe ich die migriert und nicht einfach weggeworfen. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Oktober 2023 Melden Teilen Geschrieben 2. Oktober 2023 (bearbeitet) vor 5 Minuten schrieb wznutzer: Die CA heißt noch gleich, aber der Server auf dem die CA läuft hat einen anderen Namen. Hmm, und gibt dir das zu denken? ;) Falls nein, dann nochmal genau nachlesen. Da ich nicht genau weiß, wie deine Konfiguration aussieht, kann es jetzt damit Probleme geben, oder eben auch nicht. Hängt halt mit den CRLs und AIA usw. zusammen, die per Default den Hostnamen beinhalten. Zitat Before joining the destination server to the domain, change the computer name to the same name as the source server. Then complete the procedure to join the destination server to the domain. bearbeitet 2. Oktober 2023 von NorbertFe Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 2. Oktober 2023 Autor Melden Teilen Geschrieben 2. Oktober 2023 Oh shit... Ich habe mich darauf verlassen und das eher als Empfehlung gesehen https://learn.microsoft.com/de-de/troubleshoot/windows-server/identity/move-certification-authority-to-another-server Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Oktober 2023 Melden Teilen Geschrieben 2. Oktober 2023 Hmmm, Hinweis oben und Wichtig unten widersprechen sich in meinen Augen. Ich meine es geht irgendwie das Ding umzubenennen, aber da NIEMAND vorher über die Konsequenzen nachdenkt, empfehle ich es nicht zu tun, und ggf. wie jetzt einfach eine neue CA hochzuziehen, die man dann gleich korrekt benennen kann. ;) Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 2. Oktober 2023 Autor Melden Teilen Geschrieben 2. Oktober 2023 vor 8 Minuten schrieb NorbertFe: empfehle ich es nicht zu tun, und ggf. wie jetzt einfach eine neue CA hochzuziehen, die man dann gleich korrekt benennen kann. ;) Das wird wohl das Beste sein. Die DCs holen sich ja automatisch Zertifikate. Lassen sich die EFS-Zertifikate der Nutzer übernehmen, wobei alle mit denen ich gesprochen habe, ist nicht bewusst, dass sie jemals eine Verschlüsselung verwendet haben. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Oktober 2023 Melden Teilen Geschrieben 2. Oktober 2023 vor 1 Minute schrieb wznutzer: Die DCs holen sich ja automatisch Zertifikate. Ja, aber per hardcoded routine auch nur die von der nicht mehr zur Verwendung empfohlenen Vorlage "Domain Controllers". Empfohlen ist die Vorlage "Kerberos Authentication" zu verwenden, und damit die dann automatisch funktioniert, muss man den DCs auch das Certificate Enrollment beibringen. vor 2 Minuten schrieb wznutzer: Lassen sich die EFS-Zertifikate der Nutzer übernehmen, Nein. Und wer bei gewünschter NICHT-Verwendung EFS immer noch nicht verboten hat, hats wohl auch nicht anders verdient. ;) Schau halt in deiner alten CA nach, wieviele EFS Zertifikate ausgestellt wurden, und wann die ablaufen. Wenn da nix aktuelles mehr dabei ist, ist die Chance recht hoch, dass es kaum/keiner verwendet. Bye Norbert Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 2. Oktober 2023 Autor Melden Teilen Geschrieben 2. Oktober 2023 vor 8 Minuten schrieb NorbertFe: Und wer bei gewünschter NICHT-Verwendung EFS immer noch nicht verboten hat, hats wohl auch nicht anders verdient. Ich weiß . vor 9 Minuten schrieb NorbertFe: Wenn da nix aktuelles mehr dabei ist, ist die Chance recht hoch, dass es kaum/keiner verwendet. Das seltsame ist ja, dass fast alle Zertifikate munter erneuert werden, aber niemandem bewusst ist, dass das verwendet wird. Ich bin selber dabei und ich weiß ganz genau, dass ich das nicht verwende . Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. Oktober 2023 Melden Teilen Geschrieben 2. Oktober 2023 :) Tjo, dann würd ich mir mal die Policies hinsichtlich EFS anschauen. Irgendwo müssen die ja herkommen (die Zertifikate). Zitieren Link zu diesem Kommentar
wznutzer 35 Geschrieben 4. Oktober 2023 Autor Melden Teilen Geschrieben 4. Oktober 2023 Bezüglich des Problems des Hängenbleibens: Nachdem ich die Vorlage und das Register Kryptografie einmalig ohne Netzwerkverbindung angewählt habe, ist das Problem verschwunden. Seltsam, aber der Rest scheint zu funktionieren. Aber bei Gelegenheit komplett neu machen um dann ganz sicher nie wieder dran denken zu müssen ist bestimmt besser. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.