Remove From My Forums

Alte CA kommt immer wieder

Frage
0

Anmelden

wir haben mehrere SBS2011 mit dem selben Problem:

die CA ist nach 5 jahren abgelaufen. kurzerhand eine neue erstellt (einige Monate her) und die alte gelöscht. dachte ich jedenfalls - denn die alte CA kommt immer wieder zurück.

habe die alte CA in der mmc - Zertifikate (computerkonto) überall rausgelöscht wo ich sie finden konnte und zusätzlich auch unter pkiview.msc - AD container aus allen tabs, wenn ich dann den AD zertifikatsdienst neu starte, erscheint die alte CA jedoch wieder im zertifikatsspeicher und auch im AIA container der PKI...

gleiches Problem wie hier: https://social.technet.microsoft.com/Forums/windowsserver/en-US/ff97ea1f-8fd0-48c7-a3c2-0e3da3d298df/delete-old-root-certificates-how?forum=winserversecurity

hat jemand eine lösung?

Mittwoch, 28. November 2018 15:18

Antworten

|

Zitieren

Antworten

0

Anmelden
Moin,

hat das Zertifikat denn noch irgendwelche Bindungen in Exchange außer SMTP? Falls ja, kannst Du mit Enable-ExchangeCertificate oder an der EMC die Bindungen entfernen und schauen, ob die Meldung verschwindet.

Ansonsten musst Du sie halt einfach ignorieren. Und wenn Du diese Meldung zu Monitoring-Zwecken verwendest, musst Du die Sonde auf etwas Intelligenteres als EventLog umbauen...
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.
- Als Antwort markiert InfoCN Dienstag, 4. Dezember 2018 13:23
Montag, 3. Dezember 2018 10:42

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Moin,

wie genau hast Du auf dem SBS "eine neue CA erstellt"?
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.

Mittwoch, 28. November 2018 21:26

Antworten

|

Zitieren
0

Anmelden

mmc - zertifizierungsstelle, zertifizierungsstellenzertifikat erneuern und neues schlüsselpaar erzeugen.

Donnerstag, 29. November 2018 08:09

Antworten

|

Zitieren
0

Anmelden
mmc - zertifizierungsstelle, zertifizierungsstellenzertifikat erneuern und neues schlüsselpaar erzeugen.

Genau. Und dieses Zertifikat hat eine fortlaufende Nummer "CA Version", die nicht etwa 0.0 heißt, sondern, wie ich vemuten würde, eine 1.1 oder so. Somit hast Du keine "neue CA erstellt", sondern die bestehende mit einem neuen Private Key versehen. Und in den Eigenschaften der CA siehst Du vermutlich beide.

ADCS sorgt dafür, dass innerhalb des AD-Forests den Zertifikaten *dieser CA* vertraut wird, unabhängig von der Schlüsselversion, und veröffentlicht alle Versionen des CA-Zertifikats, denn es könnte ja mit jeder davon ein Zertifikat signiert worden sein. Wenn ich mich recht erinnere, wird dabei nicht geprüft, ob mit der Schlüsselversion X.Y auch tatsächlich ein Zertifikat ausgestellt worden ist.

Wenn Du eine CA "neu machen" willst, musst DU ADCS entfernen. *dann* das AD bereinigen und anschließend die CA neu ausrollen, so dass das CA-Zertifikat wieder bei 0.0 anfängt.

Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.
- Bearbeitet Evgenij Smirnov Donnerstag, 29. November 2018 08:26
Donnerstag, 29. November 2018 08:26

Antworten

|

Zitieren
0

Anmelden

Und wie werde ich dann diese Meldung los?

Montag, 3. Dezember 2018 09:56

Antworten

|

Zitieren
0

Anmelden
Moin,

hat das Zertifikat denn noch irgendwelche Bindungen in Exchange außer SMTP? Falls ja, kannst Du mit Enable-ExchangeCertificate oder an der EMC die Bindungen entfernen und schauen, ob die Meldung verschwindet.

Ansonsten musst Du sie halt einfach ignorieren. Und wenn Du diese Meldung zu Monitoring-Zwecken verwendest, musst Du die Sonde auf etwas Intelligenteres als EventLog umbauen...
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.
- Als Antwort markiert InfoCN Dienstag, 4. Dezember 2018 13:23
Montag, 3. Dezember 2018 10:42

Antworten

|

Zitieren
0

Anmelden

das Zertifikat hat standardmäßig beim SBS gar keine Bindungen, da es nur für/von der CA genutzt wird. für smtp/exchange gibt's immer noch ein eigenes. werd ich es wohl für immer ignorieren müssen... schlechtes design.

Montag, 3. Dezember 2018 14:59

Antworten

|

Zitieren
0

Anmelden
schlechtes design.

Gutes Design, aber leider vom Hersteller selbst im Falle SBS sträflich ignoriert:

Exchange auf einem DC
CA auf einem DC

So war es halt absolut nicht gemeint.
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.
Montag, 3. Dezember 2018 15:19

Antworten

|

Zitieren
0

Anmelden

Aber auch wenn es kein SBS ist, so bleibt doch das abgelaufene Zertifikat auch auf einem Standardserver auf ewig drin oder nicht? Auch nicht besser.

Montag, 3. Dezember 2018 16:56

Antworten

|

Zitieren
0

Anmelden

Ja, aber wenn Exchange nicht auf einer CA installiert ist, ist das CA-Zertifikat ja kein *Exchange*-Zertifikat.

Und Du hast in Deinen Trusted Roots auch so einen Haufen CAs, von denen Du genaugenommen nicht weißt, ob jemals ein Zertifikat gegen sie validiert werden muss(te). Insofern ist "zuviel Kram in den Trusted Roots" kein ungewöhnlicher Zustand, eher ist es die Norm ;-)
Evgenij Smirnov

I work @ msg services ag, Berlin -> http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery --> https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

In theory, there is no difference between theory and practice. In practice, there is.

Montag, 3. Dezember 2018 17:11

Antworten

|

Zitieren
0

Anmelden

Danke

Dienstag, 4. Dezember 2018 13:22

Antworten

|

Zitieren

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Alte CA kommt immer wieder

Frage

Antworten

Alle Antworten