none
Verteilung von Root Cert und Sub Cert RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    ich habe ein Multidomainforest in dem ich von meinem Root DC ein Root Cert und ein Sub Cert mit certutil -dspublish veröffentliche habe. Das hat soweit gut geklappt, alle unteren DC und Clients haben diese Zertifikate erhalten.

    Nun habe ich Root und Sub Cert erneuert und die alten Zertifikate über PKIVIEW aus den Containern entfernt.

    Ich sehe nun das auf fast allen DC's diese Zertifikate weg sind. Die neuen Zertifikate wurden aber nicht mehr verteilt. Ich sehe aber in den Container die richtigen Zertifikate, ein erneutes ausführen von dspublish bringt auch nix da das Zertifikat ja schon vorhanden ist.

    Certification Authorities = Root CA

    NTAuth= SubCA

    Enrollmet Services = Sub CA

    AIA = Root CA; Sub CA

    Im Autoenroll habe ich auch die Root Cert und Sub Cert hinterlegt, er packt mir aber das neue Root Cert in den Intermediate Store so das die Zertifikate dann als nicht vertrauenswürdig angesehen werden.

    Ich verstehe nun nicht wie so er die Zertifikate nicht über alle DC verteilt obwohl das vorher der richtige weg war (natürlich mit ein bisschen Zeit aber es sind nun paar Tage rum)

    Außerdem versteh ich nicht wie so er mir bei der GPO das Zertifikat in den falschen Store packt obwohl ich es unter Trusted Root Certification Authorities importiert habe.

    Clients die das Zertifikat vorher nicht über die AD erhalten haben bekommen es über die GPO in den richtigen Store verteilt. Dort würde sich das Problem selber lösen.

    Was mir auch aufegfallen ist das ich auf dem Root DC im Trusted Root Store mein Root cert sehe.

    Beim Befehl von certutil -store -enterprise root aber nix aufgelistet wird

    • Bearbeitet Kerm_IT Montag, 5. August 2013 16:32
    Montag, 5. August 2013 16:27
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Ich vermute einmal, dass Du mit:

    "Nun habe ich Root und Sub Cert erneuert"

    meinst, dass Du lediglich das "Root and Sub-Certificate renewed" hast, anstatt die komplette PKI neu aufzubauen - was ja durchaus sinnvoll ist.

    Jedoch ist dann das Dein Fehler gewesen:

    "und die alten Zertifikate über PKIVIEW aus den Containern entfernt."

    Wieso?

    Lies mal hier weiter:

    How CA Certificates Work
    http://technet.microsoft.com/en-us/library/cc737264.aspx

    [..]
    Process for Renewing Root CA Certificates

    Expiring Root CA Certificate

    Both the expiring root CA certificate and the renewed root CA certificate continue to play critical roles in the PKI hierarchy:

    • The original root CA certificate remains the ultimate foundation of trust for the hierarchy, and helps to validate the certificate chains for all certificates that have been issued under the original hierarchy.
    • The renewed root CA certificate provides the foundation of trust for all certificates that are issued in the hierarchy from the renewal date forward.

    To support both of these scenarios, by default, the root CA renewal process creates a pair of cross CA certificates that establish the trust relationship between the original and renewed root certificate:

    • One verifies that the original root CA certificate trusts the renewed CA certificate
    • The second verifies that the renewed CA certificate trusts the original root certificate.

    The following figure illustrates this relationship.

    How Root CA Certificates Use Cross Certificates          

    Certificates Use Cross Certificates          

    Note          

    • Although the certificates linking the original and renewed root certificate are referred to as cross certificates, they are not the same as the cross certificates used to establish trust between two separate PKI hierarchies.

    [..]

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Dienstag, 6. August 2013 06:31
    |
  • Question
    Anmelden
    0
    Anmelden

    "The original root CA certificate remains the ultimate foundation of trust for the hierarchy"

    Ok nur das ich das richtig verstehe, das alte Root Cert ist immer noch das oberste Zertifikat? Ich hatte nämlich noch keine Zertifikate unter dem alten Root Cert verteilt und wohl etwas falsch interpretiert, dass ich das nicht mehr benötige.

    Hättest du auch evtl. eine Idee wie ich aus diesem Schlamassel raus komme :)

    Ich könnte ja jetzt entweder nochmal eins erneuern weiß aber nicht ob ich mir diesen Prozess durch den Fehler soweit zerstört habe?

    Oder ich packe das alte Root Cert und Sub Cert wieder in die Container, bin mir aber nicht sicher ob sich das auf diesem weg wieder gerade ziehen würde.

    Dienstag, 6. August 2013 09:35
    |
  • Question
    Anmelden
    1
    Anmelden

    > Oder ich packe das alte Root Cert und Sub Cert wieder in die Container
    > bin mir aber nicht sicher ob sich das auf diesem weg wieder gerade ziehen würde.

    Was gelöscht wurde, muss wieder hergestellt werden.. :)

    Schau auch in folgende Artikel bzgl. dem Hintergrundwissen:

    Quick Check on ADCS Health Using Enterprise PKI Tool
    http://blogs.technet.com/b/pki/archive/2011/02/28/quick-check-on-adcs-health-using-enterprise-pki-tool-pkiview.aspx
    -> Examining and Understanding Active Directory Certificate Stores

    How to troubleshoot Certificate Enrollment in the MMC Certificate Snap-in
    http://blogs.technet.com/b/askds/archive/2007/11/06/how-to-troubleshoot-certificate-enrollment-in-the-mmc-certificate-snap-in.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Dienstag, 6. August 2013 12:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Ok ich habe heute das alte Root und Sub Zertifikat in die Container und den CA Store gepackt

    zusätzlich habe ich die Cross Zertifikate auch hinzugefügt mit

    certutil –dspublish –f <CAName(0-1).crt> CrossCA

    certutil –dspublish –f <CAName(1-0).crt> CrossCA

    Soweit werden alle Zertifikate in den pkiview Containern korrekt und vertrauenswürdig angezeigt.

    Ich hoffe das sich das über Nacht dann innerhalb der Domäne repliziert.

    Schon mal vielen dank für deine Hilfe und für die Links!
    Dienstag, 6. August 2013 17:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    bist Du hier weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Mittwoch, 7. August 2013 14:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Leider nicht ganz. Ich hätte aber noch paar Fragen

    1. certutil –dspublish –f <CAName(0-1).crt> CrossCA

    Dieser Befehl hat die zwei Zertifikate in den AIA Conatainer gepackt bzw. müssen die auch in den Certification Authorities Container?

    2. Ich habe jetzt im Enrollment Services Container das aktuelle Sub Cert. Wäre das OK oder muss das auch zurück gebaut werden und sich dann selber austauschen?

    Allerdings frage ich mich was genau damit gemeint ist bezüglich Verwaltung des Containers

    The only method to add a new enterprise certification authority to the Enrollment Services Container is by using the Active Directory Certificate Services Role in Server Manager

    3. Gibt es einen weg das wenn man die Zertifikate in diese Container packt die Verteilung auf die Stores manuell anzustoßen. Ich habe es über Sites and Services mit einer replication versucht aber es tut sich nix. Keines der Zertifikate aus dem Container wird vom DC01 auf den DC02 übertragen.

    Der MS Blog von oben sagt bei Certification Authorities Container:

    This container is accessed through the autoenrollment policies for users and computers and distributes the Root CAs to the local Trusted Root Certification Authorities store. 

    Ich dachte nämlich alles was im

    Certification Authorities Container = Trusted Root Store

    AIA= Intermediate Store

    Ich mein er müsste mir die Zertifikate aus den Containern doch trotzdem in die Stores packen auch wenn die z.B. nicht vollständig wären


    • Bearbeitet Kerm_IT Donnerstag, 8. August 2013 11:51
    Mittwoch, 7. August 2013 17:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Mir ist wieder eingefallen das ich die alten Root Certs und CroosCert Revoked habe.

    Ich denke mal die Aktion verschlimmert alles, ich frage mich momentan ob es nicht sinnvoller und unkomplizierter ist die Ca und root neu zu installieren da die nicht produktiv ist und keine Zertifikate ausgestellt sind, anstatt da noch mehr rumzuzwerkeln bzw. bin ich mir noch nicht sicher was das jetzt genau bedutet das die auf der Root CRL stehen, ob das quasi bedeutet das ich das Ding gegen die wand gefahren habe?

    Das die nicht mehr gültig sind ist mir klar aber ob es so einen weg geben würde das das neue Root Zertifikat verteilt wird.

    Ich will da nur kein Schnellschuss machen wie beim renewal


    • Bearbeitet Kerm_IT Donnerstag, 8. August 2013 12:01
    Donnerstag, 8. August 2013 11:57
    |
  • Question
    Anmelden
    0
    Anmelden

    Die Schnellschüsse, die Dir Dein Knie zertrümmert haben, hast Du schon abgefeuert.. ;)

    Schau Dir bitte den folgenden Artikel an und bewerte Ihn gegen Deine Umgebung:

    How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 [and newer]http://support.microsoft.com/kb/889250/en-us

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    • Als Antwort markiert Kerm_IT Freitag, 9. August 2013 07:48
    Donnerstag, 8. August 2013 13:55
    |