none
CA Zertifikat abgelaufen nach migration auf Windows 2008 R2 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    eine kurze Frage. Wir haben eine kleine Testumgebung in der wir eine CA von Windows Server 2003 auf Windows Server 2008 R2 migriert haben. Nun wird das CA Zertifikat aber als "...expired or is not yet valid" gekennzeichnet, obwohl das Ablaufdatum noch lange nicht erreicht wurde. Was könnte das Problem sein?

    Edit: Die neue CA heißt genau so wie die alte CA.

    Danke fürs durchlesen.


    • Bearbeitet dasiggo Montag, 5. August 2013 08:42 Zusatzinfos
    Montag, 5. August 2013 05:31
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Überprüfe bitte einmal auf der Root CA direkt welches Zertifikat dort in der Root CA als Root CA Certificate eingetragen ist und welche Laufzeit es dort hat.

    Auf der Root CA kannst Du auch folgendes Ausführen:

    certutil -v -verify <Problem CA.cer> > C:\Temp\RootCA-ProblemCAcert.txt

    Nun vergleiche das Root CA Certificate der Root CA auf der Root CA mit dem Root CA Certificate der Problem CA (speziell Serienummer, Hashes usw.)

    Vergleiche die obige Ausgabe "RootCA-ProblemCAcert.txt" mit dem Ergebnis wenn du folgendes auf der Problem CA ausführst:

    certutil -v -verify <Problem CA.cer> > C:\Temp\ProblemCA-ProblemCAcert.txt

    Hinweis: Ein Zertifikat ist nur solang gültig wie sein kleiner Wert in der Chain - d.h. egal wie lange Du ein Zertifikat ausstellst, wenn z.B. in der Chain ein Zertifikat früher ausläuft, bestimmt dies das Ablaufdatum sämtlich weitere darauf abstammenden Zertifikate.

    Beispiel:

    Root CA Certificate noch 1 Jahr gültig

    Primary CA Certificate noch 5 Jahre gültig

    Problem CA Certificate noch 20 Jahre gültig

    Certificate A ausgestellt von der Problem CA noch 100 Jahre gültig

    -> Das Certificate A ist max. nur noch 1 Jahr gültig

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    • Als Antwort markiert dasiggo Mittwoch, 7. August 2013 06:04
    Dienstag, 6. August 2013 17:04
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Der "neue" DC heisst nicht mehr so, wie der "alte".

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Montag, 5. August 2013 07:48
    |
  • Question
    Anmelden
    0
    Anmelden
    Bist du nach folgender Anleitung vorgegangen? http://technet.microsoft.com/de-de/library/ee126170%28v=ws.10%29.aspx

    Guido Over
    MCITP Server Administrator 2008
    MCITP Enterprise Administrator 2008
    MCSA Windows Server 2008
    MCSA Windows Server 2012

    Montag, 5. August 2013 08:32
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    danke für die Antwort.

    Vor, während und nach der Migration war es immer der selbe Domain Controller. Sein Name wurde nicht geändert.

    Übrigens die neue CA heißt auch so wie die alte CA die jetzt offline ist. Die alte CA wurde gesichert, das CA Feature deinstalliert und aus der Domäne entfernt.

    Montag, 5. August 2013 08:40
    |
  • Question
    Anmelden
    0
    Anmelden
    Bist du nach folgender Anleitung vorgegangen? http://technet.microsoft.com/de-de/library/ee126170%28v=ws.10%29.aspx

    Guido Over
    MCITP Server Administrator 2008
    MCITP Enterprise Administrator 2008
    MCSA Windows Server 2008
    MCSA Windows Server 2012

    Ja.

    Kann es sein dass das Zertifikat der CA noch irgendwo anders geprüft werden muss z.B. bei der CA die das Zertifikat ausgestellt hat?

    Montag, 5. August 2013 08:50
    |
  • Question
    Anmelden
    0
    Anmelden
    Du hast due CA über Export und Import der Zertifizierungsstellen MMC wiederhergestellt?

    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Montag, 5. August 2013 09:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Gehe bitte nach folgendem Artikel vor und poste uns die zugehörigen Screenshots wo ggf. die jeweiligen Fehler zu Chaining, AIA, CDPs, NTAuthCertificates usw. ersichtlich sind:

    Quick Check on ADCS Health Using Enterprise PKI Tool (PKIVIEW)
    http://blogs.technet.com/b/pki/archive/2011/02/28/quick-check-on-adcs-health-using-enterprise-pki-tool-pkiview.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Montag, 5. August 2013 09:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Gehe bitte nach folgendem Artikel vor und poste uns die zugehörigen Screenshots wo ggf. die jeweiligen Fehler zu Chaining, AIA, CDPs, NTAuthCertificates usw. ersichtlich sind:

    Quick Check on ADCS Health Using Enterprise PKI Tool (PKIVIEW)
    http://blogs.technet.com/b/pki/archive/2011/02/28/quick-check-on-adcs-health-using-enterprise-pki-tool-pkiview.aspx


    Danke für den Tip. Ich habe es geschafft das Tool ganz zu übersehen.

    Mir ist jedoch jetzt etwas anderes aufgefallen. Bei meiner Problem CA ist das Root CA Zertificat 2012 abgelaufen. Wenn ich mir andere CAs über dieses Tool anschauen ist es überall das gleiche, das Root CA Zertifikat ist abgelaufen. Gehe ich jedoch direkt auf eine CA (nicht meine Problem CA) ist dort das Ablaufdatum des Root CA Zertifikats erst 2044 und somit noch gültig.

    Es kann doch nicht sein dass das Ablaufdatum des Root CA Zertifikats bei der Migration geändert wurde?

    Dienstag, 6. August 2013 06:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich hab keine Ahnung welche CAs Du jetzt meinst. Ich dachte, wir reden hier von einer einzigen..?

    Deswegen bitte Screenshots oder exakte Erklärung, da WIR DEINE UMGEBUNG NICHT SEHEN!

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Dienstag, 6. August 2013 06:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Kann ich verstehen. Ich war nicht deutlich genug.

    Es geht immer noch um eine CA die Probleme macht(Problem CA), bei der das Zertifikat als abgelaufen bezeichnet wird. Ich meinte den Zertifizierungspfad bzw. certificate chain.

     

    Der Pfad geht so:                      RootCA > PrimaryCA > Problem CA

     

    Vor der Migration war das RootCA Zertifikat bis 2044 gültig. Nach der Migration was das Zertifikat der RootCA nur noch bis 2012 gültig. Das war meine neue Erkenntnis.

     

    Jetzt frage ich mich warum das Ablaufdatum des Zertifikats der RootCA nach der Migration der Problem CA geändert wurde oder was da passiert sein könnte.

    Und die zweite Frage die ich mir stelle ist:

    Ob das abgelaufene RootCA Zertifikat etwas damit zu tun haben könnte, dass das Zertifikat der Problem CA als "abgelaufen oder noch nicht gültig" bezeichnet wird, obwohl das Ablaufdatum(2020) noch nicht erreicht wurde.

    Das Zertifikat der PrimaryCA ist übrigens auch noch gültig. Das nur am Rande.

     

    Tut mir Leid wegen der Screenshots, aber wir dürfen keine Screenshots ins Internet stellen.
    Dienstag, 6. August 2013 13:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Überprüfe bitte einmal auf der Root CA direkt welches Zertifikat dort in der Root CA als Root CA Certificate eingetragen ist und welche Laufzeit es dort hat.

    Auf der Root CA kannst Du auch folgendes Ausführen:

    certutil -v -verify <Problem CA.cer> > C:\Temp\RootCA-ProblemCAcert.txt

    Nun vergleiche das Root CA Certificate der Root CA auf der Root CA mit dem Root CA Certificate der Problem CA (speziell Serienummer, Hashes usw.)

    Vergleiche die obige Ausgabe "RootCA-ProblemCAcert.txt" mit dem Ergebnis wenn du folgendes auf der Problem CA ausführst:

    certutil -v -verify <Problem CA.cer> > C:\Temp\ProblemCA-ProblemCAcert.txt

    Hinweis: Ein Zertifikat ist nur solang gültig wie sein kleiner Wert in der Chain - d.h. egal wie lange Du ein Zertifikat ausstellst, wenn z.B. in der Chain ein Zertifikat früher ausläuft, bestimmt dies das Ablaufdatum sämtlich weitere darauf abstammenden Zertifikate.

    Beispiel:

    Root CA Certificate noch 1 Jahr gültig

    Primary CA Certificate noch 5 Jahre gültig

    Problem CA Certificate noch 20 Jahre gültig

    Certificate A ausgestellt von der Problem CA noch 100 Jahre gültig

    -> Das Certificate A ist max. nur noch 1 Jahr gültig

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    • Als Antwort markiert dasiggo Mittwoch, 7. August 2013 06:04
    Dienstag, 6. August 2013 17:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Danke Tobias,

    jetzt verstehe ich was das Problem ist und worauf man sich nun konzentrieren muss.

    Leider haben wir die RootCA nicht in unserer Testumgebung. Die ist bei einer anderen IT-Abteilung. Ich werde das Problem nun dort hin tragen mit der Bitte die beiden Ausgaben zu checken. Die werden wahrscheinlich auch Microsoft dazu schalten.

     

    Ich melde mich wenn ich es nicht vergesse und etwas neuen Erfahre.

    Bis dahin: Danke.

    Mittwoch, 7. August 2013 06:04
    |