none
Root CA MIgration: Fragen zu Templates,Standalone und Enterprise CA... RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi Community,

    ich muss eine vorhandene Root CA von Server 2008R2 auf Server 2016 migrieren und finde dazu mehrere Anleitungen, die alle ziemlich verschiedene Wege gehen aber grundsätzlich wird mal zwischen Standalone und Enterprise CA unterschieden, wo schaut man das nach, was man da hat?

    Als nächstes tauchen häufiger Templates auf. ich finde schon diese nicht, laut Microsoft sollten sie wohl hier zu finden sein, sind sie aber nicht:

    Es gibt zZ nur zwei zertifikate, die von dieser CA ausgestellt wurden, die noch in Verwendung sind, das ist einmal *.domain.local und *.domain.de, beide sind in den Exchanger uA für das Autodiscover installiert.

    Welche Vorgehensweise wäre die einfachste Variante? Ich habe gelesen, dass der Umweg über Server 2012 R2 ziemlich einfach sein soll (Einfach Backup importieren) Ich habe auch noch Member Sever mit 2012 R2, die könnte ich auch Verwenden, wenn es einfacher wäre. Später kann ich ja von dort auf Server 2016 migrieren oder nehmen sich die Varianten in der Umsetzung nicht viel?

    Thx & Bye Tom

    Donnerstag, 21. Februar 2019 14:32
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Templates gibt es nur in einer Enterprise CA. Wenn Du das CA-Zertifikat bei der Migration beibehältst oder maximal erneuerst, kannst Du die CA jederzeit migrieren, und gerne dabei auch eine Enterprise Root CA daraus machen, falls Du gerne Vorlagen hättest, aber keine zwei CAs verwalten möchtest.

    Den Umweg über Server 2012R2 brauchst Du nicht. Einfach Backup importieren geht auch auf 2016, aber nur, wenn die Maschine genauso heißt wie die vorherige. Allerdings sollte man da wissen, was man tut, wenn man den Typ der CA von Standalone auf Enterprise ändert.

    Eleganter wäre der Weg, die Standalone Root 2008 auf Standalone Root 2016 zu migrieren und ihr eine Enterprise CA 2016 unterzuhängen, die dann zukünftig auch Zertifikate ausstellt.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 21. Februar 2019 15:00
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus Evgenij,

    >Den Umweg über Server 2012R2 brauchst Du nicht. Einfach Backup importieren geht auch auf 2016, aber nur, wenn die Maschine genauso heißt wie die vorherige.

    Hm blöd [...] und wenn die neue Maschine nicht so heißt?

    Thx & Bye Tom

    Donnerstag, 21. Februar 2019 15:18
    |
  • Question
    Anmelden
    0
    Anmelden

    Dann sind zwei Szenarien möglich:

    1. Bei der Einrichtung der CA wurde darauf geachtet, für die CRL Distribution Points maschinenunabhängige Namen zu verwenden (schaue in dem ausgestellten Zertifikat nach, was da steht). Dann kannst Du in der Tat vor dem Import der Registry überall im REG-File den alten Maschinennamen gegen den neuen austauschen.

    2. Es wurde nicht darauf geachtet, und es steht überall die Maschine drin. Dann musst Du die alte CA abschalten, bevor Du die neue mit dem gleichen Namen hochziehst.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 21. Februar 2019 15:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    wieder blöd, da steht der alte Servername in der URL drinnen...

    Es sind aber nur zwei Zertifikate, die ich eigentlich auch auf dem neuen Server neu ausstellen könnte. Sind die Zertifikate die sonst so in einem Active Directory automatisch immer wieder ausgestellt werden, nicht von dieser CA? Zumindest stehen in der Liste der ausgestellten Zertifikate nur Zertifikate, die wir auch tatsächlich selbst ausgestellt haben.

    Wenn ich das Problem los wäre, wenn ich die zwei Zertifikate einfach neu ausstelle, fände ich das akzeptabel. Meckern die Exchanger wenn sie vorübergehend nicht auf die alte Sperrlisten zugreifen können? Ich muss laut Anleitung die komplette CA vom alten Server entfernen, bevor ich die neue auf dem neuen Server installiere...

    Als Plan B würde vorübergehend ein DNS A Record mit dem alten Hostname auf die neue IP nicht helfen?

    Thx & Bye Tom

    Donnerstag, 21. Februar 2019 15:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    von welcher CA die Zertifikate sind, kannst Du doch in den Zertifikaten sehen ;-) Und wenn eine Standalone CA die einzige ist, dürfte es im AD auch keine automatisch ausgestellten Zertifikate geben.

    Was im AD veröffentlicht ist, kannst DU per ADSIEdit in der Configuration Partition unter Services\Public Key Services sehen.

    Wenn Du die "beabsichtigten" Zertifikate neu ausstellen kannst, brauchst Du auch nicht zu migrieren, sondern kannst die PKI einfach neu aufsetzen.

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Donnerstag, 21. Februar 2019 16:27
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    >Wenn Du die "beabsichtigten" Zertifikate neu ausstellen kannst, brauchst Du auch nicht zu migrieren, sondern kannst die PKI einfach neu aufsetzen.

    Okay aber gäbe es eine Möglichkeit bei der neuen Installation, dass ich mir beim nächsten mal das Leben leichter mache...?

    Thx & Bye Tom
    Montag, 25. Februar 2019 08:10
    |
  • Question
    Anmelden
    0
    Anmelden


    Okay aber gäbe es eine Möglichkeit bei der neuen Installation, dass ich mir beim nächsten mal das Leben leichter mache...?


    Ja, definitiv. Das wichtigte ist, Du visualisierst das nächste Mal bereits jetzt:

    1. Du hast eine Root CA. Diese ist standalone und signiert ausschließlich Issuing CAs. Sorge dafür, dass sie lange läuft, selten CRLs ausstellt und ausschließlich HTTP-CDPs verwendet, die mit Maschinennamen nichts zu tun haben (http://pki.meinefirma.de/RootCA.crl statt http://SRV0815RCA/CertSrv/RootCA_SRV0815RCA.crl). Liegt der HTTP-CDP dann auch noch auf einem von der PKI unabhängigen Webserver, so passiert rein gar nichts, wenn die Root CA tage- und monatelang offline ist. Bedeutet: Du kannst sie in Ruhe jederzeit migrieren.

    2. Dann hast Du noch die Issuing CA(s). Diese wären dann vermutlich, wenn auch nicht notwendigerweise, Enterprise. Auch hier gilt: Wenn Du nicht darauf angewisen bist, 24/7 in Echtzeit Zertifikate ausstellen zu können (was z.B. bei Computer-Zertifikaten für 802.1X der Fall wäre), musst Du nur dafür sorgen, dass Revocation Checking während des Upgrade weiterhin funktioniert.

    Ich könnte das jetzt hier minutiös beschreiben, aber ich denke, ich mach darauf lieber einen Blog-Beitrag ;-)

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 25. Februar 2019 08:34
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    >Ich könnte das jetzt hier minutiös beschreiben, aber ich denke, ich mach darauf lieber einen Blog-Beitrag ;-)

    Das wäre klasse, ich kann mit der neuen Installation auch noch eine Zeitlang warten. Wo bloggst du, damit ich das auf dem Schirm habe...?

    Thx & Bye Tom


    Montag, 25. Februar 2019 08:39
    |
  • Question
    Anmelden
    0
    Anmelden

    Wo bloggst du, damit ich das auf dem Schirm habe...?

    das steht so prominent in meiner Signatur, das sich bereis einige beschwert haben ;-)

    Evgenij Smirnov

    I work @ msg services ag, Berlin -> http://www.msg-services.de
    I blog (in German) @ http://it-pro-berlin.de
    my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
    Exchange User Group, Berlin -> https://exusg.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.

    Montag, 25. Februar 2019 09:10
    |
  • Question
    Anmelden
    0
    Anmelden

    >das steht so prominent in meiner Signatur, das sich bereits einige beschwert haben ;-)

    Ja, habs unmittelbar nachdem ich das Posting abgesetzt habe, auch gesehen...

    ...mea culpa ;-)

    Thx & Bye Tom

    Montag, 25. Februar 2019 09:42
    |