Zertifizierungsstelle auf Server mit Exchange löschen oder migrieren?

[franzjosef 1]

Hi!

Ich habe hier ein kleines Netzwerk, was ich etwas auf Vordermann bringen und Aufräumen möchte. Als nennenswerte Maschinenen stehen daher auf der Übersicht:

 

• Server 2022 Standard als DC
• Server 2012 R2 mit Exchange 2013 und AD CS Enterprise (wird abgelöst)
• Server 2022 mit Exchange 2019 CU14 (der Nachfolger)
• RDS 2022
• handvoll Clients Win11

 

Der Einfachheit und Kostenhalber wurde seinerzeit die AD CS Rolle auf dem Exchange Server mit eingerichtet, um die selbstsignierten Zertifikate abzubilden. Die selbstsignierten Zertifikate wurden schon vor einiger Zeit durch externe Zertifikate abgelöst. Aus dieser Perspektive heraus ist die Zertifizierungsstelle also im Grunde nicht mehr notwendig. Zertifikate wurden auch nur im Intranet verteilt. Sehe hier keine Notwendigkeiten die Zertifikate zu revoken, da eh schon abgelaufen bzw. nicht mehr verteilt und verwendet wurde.

 

Wenn ich die  Zertifikatsaustellungen prüfe, finde ich aktuelle Ausstellungen für:

• (den Einzigen) Domänencontroller mit Client- Serverauth (LDAPS)
• Zertifizierungsstellenaustausch

 

Meines Verständnisses nach fällt das Zertifikat für den Zert-Austausch mit der CA, richtig? Ich stelle mir einfach die Frage, benötige ich die CA eigentlich noch? Aktuell strebe ich an, die CA auf den Nachfolger Exchange zu migrieren. Das funktioniert in der Testumgebung wunderbar, der DC bekommt weiterhin sein LDAPS Zertifikat inkl. Serverauth und gut ist. Sollte ich doch nochmal ein Zertifikat benötigen (intern), kann ich die CA ja benutzen.

 

Wie gesagt, es handelt sich hier um ein kleines Netzwerk. Für diesen Zweck sehe ich keine Notwendigkeit auch eine eigene Maschine für die AD CS hinzustellen. Was meint ihr?

[testperson 1.680]

Hi,

 

so wie du es beschreibst, kann die CA weg. Für LDAPS reicht bspw. ein Zertifikat per "New-SelfSignedCertificate" (New-SelfSignedCertificate (pki) | Microsoft Learn) erstellt. Siehe auch

• LDAPS in einer Windows-Domäne ohne PKI | faq-o-matic.net
• LDAPS in der Windows-Domäne – wie und wozu eigentlich? | faq-o-matic.net 

 

Gruß

Jan

[NorbertFe 2.045]

vor 13 Minuten schrieb franzjosef:

Aktuell strebe ich an, die CA auf den Nachfolger Exchange zu migrieren.

 

vor 13 Minuten schrieb franzjosef:

sehe ich keine Notwendigkeit auch eine eigene Maschine für die AD CS hinzustellen. Was meint ihr?

eine CA ist eine CA und kein ein Exchange ist ein Exchange und keine CA. Die beiden Dienste haben nichts auf der selben Maschine zu suchen. Genau wie ein DC ein DC ist und keine CA. ;)

bearbeitet Dienstag um 14:28 von NorbertFe

[cj_berlin 1.323]

vor einer Stunde schrieb testperson:

so wie du es beschreibst, kann die CA weg. Für LDAPS reicht bspw. ein Zertifikat per "New-SelfSignedCertificate" (New-SelfSignedCertificate (pki) | Microsoft Learn) erstellt. Siehe auch

• LDAPS in einer Windows-Domäne ohne PKI | faq-o-matic.net
• LDAPS in der Windows-Domäne – wie und wozu eigentlich? | faq-o-matic.net 

Und bei LDAPS must Du prüfen, welche Systeme, die nicht Mitglied im AD sind, auf LDAP(S) zugreifen. Falls keine, kann die CA weg *und* Du brauchst gar kein Zertifikat auf dem DC, denn Domänenmitglieder brauchen kein LDAPS, siehe meinen Blog-Beitrag, der im zweiten Link oben verlinkt ist.

[daabm 1.356]

vor 31 Minuten schrieb cj_berlin:

Domänenmitglieder brauchen kein LDAPS

 

Genaugenommen (aber @cj_berlin weiß das natürlich auch) braucht niemand LDAPS, der einen SASL-Bind hinbekommt. Die meisten sind nur zu faul, das zu implementieren