none
Umzug RootCA auf neuen Server RRS feed

  • Frage

  • Hi Community,

    ich bin gerade dabei die Dienste eines Server 2008 R2 auf einen neuen Server 2016 umzuziehen und lese bzgl. der auf dem W2K8R2 installierten RootCA, dass der neue (Ziel-) Server am Ende der Migration genauso heißen muss, wie der alte (Quell-) Server[1].Die Anleitung gilt aber nur bis Server 2012R2.

    Anyway, dieses Namensgedöhns passt jetzt so gar nicht zu meinen Plänen, daher die Frage: Muss das sein oder gibt es eine andere Möglichkeit? Auf dem Quell-Server laufen noch andere Dienste, die ggf. auch noch eine Weile weiter dort laufen sollten aber langfristig nicht unbedingt migriert werden müssen...

    Plan B: Ich installiere gleich eine neue RootCA, da zZ eh nur zwei Zertifikate gültig und im Exchange in Verwendung sind (*.domain.de und *.domain.local). Wir brauchen die ganze CA auch nur wegen diesen Exchange Zertifikaten. Es gibt auch keine Sperrlisten oder ungültig deklarierte Zertifikate etc.

    Kann man zwei Domänen-integrierte CAs parallel betreiben?

    [1] https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/

    Thx & Bye Tom


    Dienstag, 11. September 2018 12:40

Antworten

  • Moin,

    man kann so viele Enterprise PKI-Stämme parallel betreiben wie man will, die Sinnhaftigkeit und irgendwann auch die Performance (falls sie alle auch Enrollment Policies veröffentlichen) sei dahin gestellt.

    Sperrlisten gibt es übrigens immer - das merkst Du, wenn die mal nicht mehr erreichbar sind :-) Außer natürlich, die CDP Extension bei euren Zertifikaten ist richtig blank...

    Die Identität der Root CA ist nur ihr Zertifikat, und der Computername ist dort nirgends hinterlegt. Selbst wenn er im Distinguished Name der CA enthalten ist, stellt er keinen Bezug zum Hostnamen des Computers her. Somit kann der Computer, der die CA beherbergt, auch anders heißen. Wenn Du migrierst, wirst Du ja in der Regel die Registry (HKLM\System\CurrentControlSet\Services\CertSvc) übernehmen wollen. Im Export wirst Du dann die Bezüge auf den Computernamen finden und korrigieren müssen, bevor Du die Regfile importierst. Und dann läuft auch alles.

    Blöd ist, wenn die CA mit ihrem Namen in der CDP-Extension der Zertifikate steht, die sie ausstellt. Dann wird der Name, zumindest als DNS-Alias, beibehalten werden müssen, bis diese Zertifikate erneuert werden, damit die CRL überprüft werden kann.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 11. September 2018 13:38
  • Moin,

    Du musst sicherstellen, dass zumindest auf einem der im Zertifikat eingetragenen CDP-Pfade (HTTP und/oder LDAP, seltener FILE) die gültige CRL heruntergeladen werden kann. Ist es der Fall, bist Du safe. Also wenn Du den Rechner CA-ALT abbaust, mach einfach ein DNS-Alias CA-ALT auf CA-NEU, damit müsste der HTTP-CDP ja weiterhin erreichbar sein.

    Prüfen kannst Du das ja immer mit

    certutil -verify -urlfetch <cer.cer> 
    wo cer.cer der komplette Pfad zum gewünschten Zertifikat (ohne private Key) ist.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 17. September 2018 15:44

Alle Antworten

  • Moin,

    man kann so viele Enterprise PKI-Stämme parallel betreiben wie man will, die Sinnhaftigkeit und irgendwann auch die Performance (falls sie alle auch Enrollment Policies veröffentlichen) sei dahin gestellt.

    Sperrlisten gibt es übrigens immer - das merkst Du, wenn die mal nicht mehr erreichbar sind :-) Außer natürlich, die CDP Extension bei euren Zertifikaten ist richtig blank...

    Die Identität der Root CA ist nur ihr Zertifikat, und der Computername ist dort nirgends hinterlegt. Selbst wenn er im Distinguished Name der CA enthalten ist, stellt er keinen Bezug zum Hostnamen des Computers her. Somit kann der Computer, der die CA beherbergt, auch anders heißen. Wenn Du migrierst, wirst Du ja in der Regel die Registry (HKLM\System\CurrentControlSet\Services\CertSvc) übernehmen wollen. Im Export wirst Du dann die Bezüge auf den Computernamen finden und korrigieren müssen, bevor Du die Regfile importierst. Und dann läuft auch alles.

    Blöd ist, wenn die CA mit ihrem Namen in der CDP-Extension der Zertifikate steht, die sie ausstellt. Dann wird der Name, zumindest als DNS-Alias, beibehalten werden müssen, bis diese Zertifikate erneuert werden, damit die CRL überprüft werden kann.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 11. September 2018 13:38
  • Servus Evgenij,

    >[...]Wenn Du migrierst, wirst Du ja in der Regel die Registry (HKLM\System\CurrentControlSet\Services\CertSvc) übernehmen wollen. Im Export wirst Du dann die Bezüge auf den Computernamen finden und korrigieren müssen, bevor Du die Regfile importierst. Und dann läuft auch alles.

    Den Hostnamen des Computers der die CA derzeit hostet, habe ich vier oder fünfmal im Reg-File gefunden, dass scheint demnach übersichtlich zu sein.

    >Blöd ist, wenn die CA mit ihrem Namen in der CDP-Extension der Zertifikate steht, die sie ausstellt.

    Hm, dem scheint aber wohl so zu sein:

    Aber das betrifft doch nur die bereits ausgestellten Zertifikate oder? Wie bereits erwähnt, zZ sind nur zwei Zertifikate aktiv, die neu auszustellen wäre das geringste Problem.

    BTW: Was mir aber bei der Durchsicht der Daten auffällt, ist die geklammerte (2) im Namen. Die CA ist schon mal von 2003 auf 2008 R2 migriert worden, was eine ziemliche Pfriemelei gewesen ist, weil die CA damals auf einem Domänencontroller installiert gewesen ist, den es nicht mehr gab. Um an die Daten der CA zu kommen, mussten wir damals den ganzen DC in einer Sandbox wiederherstellen. Ist damals was schief gelaufen oder ist die (2) da zu erwarten?

    Thx & Bye Tom

    Dienstag, 11. September 2018 14:18
  • Moin,

    vermutlich ist das CA-Zertifikat erneuert worden, daher die (2).

    Wenn Du die vorhandenen Zertifikate neu ausstellen willst, wirst Du dabei auch die neuen CDP-Pfade reinkriegen, sofern Du die Konfig der CA vor dem Erneuern entsprechend anpasst.

    Der Rat, den ich dazu immer gebe ist: Trage für den HTTP-CDP einen extern auflösbaren Namen ein aus einer Domäne, die euch gehört (sowas wie http://pki.meinefirma.de). Du musst den CDP nicht gleich ins Internet veröffentlichen, kannst es aber später ohne Weiteres tun, falls es notwendig werden sollte. Und intern die Namensauflösung für pki.meinefirma.de sicherzustellen, gehört ja zu den leichteren Übungen :-)


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 11. September 2018 14:27
  • Servus Evgenij,

    >vermutlich ist das CA-Zertifikat erneuert worden, daher die (2).

    Stimmt, dass ist mal erneuert worden.

    >Wenn Du die vorhandenen Zertifikate neu ausstellen willst, wirst Du dabei auch die neuen CDP-Pfade reinkriegen, sofern Du die Konfig der CA vor dem Erneuern entsprechend anpasst.

    Okay, die Vorgehensweise wäre dann folgende:

    1) Backup der vorhanden CA

    2) Hostnamen im exportierten RegFile [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc\Configuration] auf den Hostnamen des neuen Servers ändern.

    3) CA Rolle vom alten Server entfernen

    4) CA Rolle im neuen Server hinzufügen

    5) Backup einspielen

    6) Die zwei Zertifikate neu ausstellen und im Exchange hinzufügen.

    7) Das sollte es dann gewesen sein, isn't it?

    Frage: Bleiben die beiden von der alten CA ausgestellten Zertifikate noch eine Weile gültig, wenn die CDP-Pfade nicht mehr stimmen? Wäre mir halt recht, wenn ich mich erst mit der neuen CA eine Weile in Ruhe beschäftigen kann und mir nicht gleich die Exchanger um die Ohren fliegen...

    BTW: Wie bekomme ich raus, ob die alte CA eine Standard oder Enterprise CA ist? Die neue sollte ja das gleiche Format besitzen, habe ich gelesen...

    >Der Rat, den ich dazu immer gebe ist: Trage für den HTTP-CDP einen extern auflösbaren Namen ein aus einer Domäne, die euch gehört (sowas wie http://pki.meinefirma.de)[...]

    Wo wird das umgebogen? Der (extern auflösbare) FQDN soll dann auf die IP des neuen Servers zeigen, muss dazu nicht auch der IIS entsprechend konfiguriert sein? Oder tut er das automatisch für den FQDN welcher den HTTP-CDP bereitsstellt...?

    Thx & Bye Tom

    Dienstag, 11. September 2018 14:57
  • Moin,

    ja, die Vorgehensweise stimmt in etwa so.

    Frage: Bleiben die beiden von der alten CA ausgestellten Zertifikate noch eine Weile gültig, wenn die CDP-Pfade nicht mehr stimmen? Wäre mir halt recht, wenn ich mich erst mit der neuen CA eine Weile in Ruhe beschäftigen kann und mir nicht gleich die Exchanger um die Ohren fliegen...

    Die *Zertifikate* bleiben eh gültig bis zum jeweiligen Ablauf. Du kannst, bevor Du loslegst, mit

    certutil -crl

    die CRL einmal neu generieren, dann ist sie halt solange gültig wie ihre Gültigkeit eingestellt ist. Und solange die Maschine als solche erreichbar ist, kann sie auch von anderen Systemen per HTTP abgefragt werden.

    BTW: Wie bekomme ich raus, ob die alte CA eine Standard oder Enterprise CA ist? Die neue sollte ja das gleiche Format besitzen, habe ich gelesen...

    Guck mal in der CA-Konsole, ob der Punkt "Zertifikatsvorlagen" vorhanden ist. Ist er da, ist es eine Enterprise CA. Fehlt er, ist es eine Standalone. Übrigens: Wenn es eine Enterprise ist und Du sie deinstallierst, wird auch die Veröffentlichung im AD gelöscht. Du solltest daher prüfen, ob Du das Root-Zertifikat *auch* per GPO verteilst, und das ggfls. vorher nachpflegen.

    >Der Rat, den ich dazu immer gebe ist: Trage für den HTTP-CDP einen extern auflösbaren Namen ein aus einer Domäne, die euch gehört (sowas wie http://pki.meinefirma.de)[...]

    Wo wird das umgebogen? Der (extern auflösbare) FQDN soll dann auf die IP des neuen Servers zeigen, muss dazu nicht auch der IIS entsprechend konfiguriert sein? Oder tut er das automatisch für den FQDN welcher den HTTP-CDP bereitsstellt...?

    Im DNS. Neue Forward Lookup-Zone, lautend auf pki.meinefirma.de, dort einen A-Eintrag ohne Namen aber mit der IP-Adresse der CA bzw. des Webservers. Wenn Du im IIS natürich Hostnamen zur Bindungen verwendest, musst Du das nachpflegen. Die Standard-Installation einer Windows-CA tut dies nicht.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Dienstag, 11. September 2018 16:02
  • Servus Evgenij,

    >Blöd ist, wenn die CA mit ihrem Namen in der CDP-Extension der Zertifikate steht, die sie ausstellt. Dann wird der Name, zumindest als DNS-Alias, beibehalten werden müssen, bis diese Zertifikate erneuert werden, damit die CRL überprüft werden kann.

    Die Geschichte macht mir jetzt noch ein wenig Sorgen, da das ja der Fall ist, dass der Hostname im ausgestellten Zertifikat steht.

    Wenn ich jetzt hergehe und wie oben bereits besprochen, die Regdatei mit dem neuen Hostnamen entsprechend anpasse und die CA dann auf dem neuen Server installiere, tangiert das in irgendeiner Form die beiden bereits ausgestellten und auf den Exchangern installierten Zertifikate. Die sind noch bin 09/2019 gültig, solange werde ich sie zwar nicht benötigen aber mir geht es vielmehr um die nächsten Monate.

    Oder muss ich nach der Migration der CA sofort in irgendeiner Art und Weise tätig werden, damit die Exchange Zertifikate weiterhin gültig bleiben? Dieser Punkt wäre mir sehr wichtig, hier nichts falsch zu machen...

    Thx & Bye Tom

    Montag, 17. September 2018 14:19
  • Moin,

    Du musst sicherstellen, dass zumindest auf einem der im Zertifikat eingetragenen CDP-Pfade (HTTP und/oder LDAP, seltener FILE) die gültige CRL heruntergeladen werden kann. Ist es der Fall, bist Du safe. Also wenn Du den Rechner CA-ALT abbaust, mach einfach ein DNS-Alias CA-ALT auf CA-NEU, damit müsste der HTTP-CDP ja weiterhin erreichbar sein.

    Prüfen kannst Du das ja immer mit

    certutil -verify -urlfetch <cer.cer> 
    wo cer.cer der komplette Pfad zum gewünschten Zertifikat (ohne private Key) ist.


    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com


    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 17. September 2018 15:44
  • Servus,

    >Du musst sicherstellen, dass zumindest auf einem der im Zertifikat eingetragenen CDP-Pfade (HTTP und/oder LDAP, seltener FILE) die gültige CRL heruntergeladen werden kann. Ist es der Fall, bist Du safe. Also wenn Du den Rechner CA-ALT abbaust, mach einfach ein DNS-Alias CA-ALT auf CA-NEU, damit müsste der HTTP-CDP ja weiterhin erreichbar sein.

    Okay, dann muss ich damit eh warten, bis ich den alten Server abschalten kann. Der Server hostet noch andere Dienste, die noch nicht migriert sind und auch noch eine Weile online bleiben müssen.

    Vielleicht kann ich das ganze Setup jetzt auch erst mal so stehen lassen, bis die Exchanger migriert werden, was auch in den nächsten Monaten der Fall sein wird.

    Thx & Bye Tom


    Dienstag, 18. September 2018 09:49