none
parallel Enterprise-CA oder Umzug von DC 2003 auf 2012R2 RRS feed

  • Allgemeine Diskussion

  • Hallo,

    Ich möchte einen Enterprise CA die auf einem alten 2003er DC läuft umziehen oder neu aufsetzen.

    Die CA hat nur für interne Sachen wie Exchange, Sub-CAs, Domänencontroller von Subdomänen und ein paar interne Webserver etc. Zertifikate verteilt und auch diese Anzahl der Zertifikate ist überschaubar. Das CA Zertifikat läuft nun bald aus und so wäre ein guter Zeitpunkt bevor ich das Zertifikat erneuere, diese Baustelle anzupassen und die CA umzuziehen (und den DC rauszuwerfen).
    Da das CA Thema doch sehr komplex ist und ich damit bisher wenig zu tun hatte wende ich mich vorab an euch um eure Meinungen, Vorschläge zu erfahren und Hilfe zu beanspruchen.

    Als Vorgabe gilt, das der NEUE CA-Server auch in der Domäne sein muss...(aber kein DC)
    Domain-Informationen:
    ein Forest mit verschiedenen Subdomänen. Eine Root-CA auf einem DC2003, zwei Untergeordnete Zertifizierungsstellen in ausländischen Niederlassungen (verschiedene Kontinente).

    Meine Gedanken dazu:

    Ich würde ja am liebsten eine zweite Enterprise CA aufsetzen die nicht auf einem DC liegt, so das die alte noch parallel läuft und die ausgestellten Zertifikate gültig bleiben bis das CA Zertifikat ausläuft. So habe ich Zeit die anstehenden Änderungen an den Clients (PCs/Server und deren bisher verteilten Zertifikaten) vorzunehmen.

    Dazu habe ich aber eben noch einige Fragen:
    (Abgesehen davon das man die CA nicht ins Unternehmensnetzwerk einbinden und dann Subordinated CAs machen sollte)

    Ist es möglich eine 2. Enterprise-CA parallel aufzusetzen und wenn Ja, hat jemand ein ToDo oder Weblinks die vertrauenswürdig sind?

    Ich habe einen "Test" gemacht um herauszufinden wie das "alte" Root-CA Zertifikat bei den Clients hinzugefügt wird. Dies geschieht bei der Aufnahme in die Domäne aber ich habe keine entsprechende Richtlinie dazu gefunden. Entweder habe ich die Einstellung in der GPO überlesen oder wie wird dies bewerkstelligt?
    Damit Clients dem neuen CA Zertifikat vertrauen, wie muss ich vorgehen damit Clients aus der Domäne und auch den Subdomänen der CA vertrauen? Muss ich GPOs in allen Subdomänen erstellen?

    Oder falls mein Gedanke nicht so "das gelbe vom Ei" ist, was würdet ihr mir raten um die gegebenen Anforderungen umzusetzen?

    Montag, 30. Januar 2017 13:13