none
Root CA migrieren RRS feed

Antworten

  • Moin,

    klar kannst Du die Root-CA migrieren. Wenn Du Namen, IP und Zertifikat beinehältst, musst Du auf AD-Seite gar nichts machen.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Mittwoch, 21. August 2019 11:34
    Mittwoch, 21. August 2019 11:12
  • Moin,

    ad 1: Backup der CA, Backup der Konfiguration und dann die Anleitung Deiner Wahl befolgen.

    ad 2: Namen ändern ist möglich, aber nicht supported. Wenn Du den änderst, hättest Du im AD ggfls. doch was zu tun. Die Root CA ist ja vermutlich dort veröffentlicht, auch wenn sie selbst nicht Mitglied ist...


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Mittwoch, 21. August 2019 11:34
    Mittwoch, 21. August 2019 11:26

Alle Antworten

  • Moin,

    klar kannst Du die Root-CA migrieren. Wenn Du Namen, IP und Zertifikat beinehältst, musst Du auf AD-Seite gar nichts machen.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Mittwoch, 21. August 2019 11:34
    Mittwoch, 21. August 2019 11:12
  • OK :-)
    Würde es dann reichen in dem Zertifikats Snapin einen Export der Konfig. zu machen und dann einen Import auf den neuen Server?
    Name ändern ist gar nicht möglich? Also meine den Servernamen.....
    Mittwoch, 21. August 2019 11:17
  • Moin,

    ad 1: Backup der CA, Backup der Konfiguration und dann die Anleitung Deiner Wahl befolgen.

    ad 2: Namen ändern ist möglich, aber nicht supported. Wenn Du den änderst, hättest Du im AD ggfls. doch was zu tun. Die Root CA ist ja vermutlich dort veröffentlicht, auch wenn sie selbst nicht Mitglied ist...


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert HaschkeD Mittwoch, 21. August 2019 11:34
    Mittwoch, 21. August 2019 11:26
  • Zu 2 noch eine Frage.
    Der CA Name bleibt ja gleich. Wollte nur den Servernamen ändern. Ist das auch daran gekoppelt?
    Mittwoch, 21. August 2019 14:30
  • Moin,

    nein, da ist intern nichts gekoppelt. Aber wenn Du in den Zertifikaten oder bei der Veröffentlichung im AD AIA- und CDP-Pfade stehen hat, die auf den Servernamen verweisen, musst Du sicherstellen, dass der neue Server unter dem alten Namen erreichbar ist.

    Und halt im Konfigurationsbackup alles minutiös umschreiben, bevor Du es in den neuen Server einspielst.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 21. August 2019 15:09
  • Hi,
    wo kann ich das im AD sehen ob AIA- und CDP-Pfade da stehen?
    Wenn ich mir das Root CER anschaue sehe ich nur den Namen der CA, aber nicht den Servernamen.
    Ich könnte dem Server für die neue ROOT CA ja dann einen neuen Namen geben und per DNS CNAME arbeiten, oder?
    Wenn ich einen neuen Server hochziehe mit dem gleichen Namen muss ich den alten ja erst ausschalten.....also parallel nicht möglich. 

    Folgendes vorgehen stelle ich mir vor?
    1. Installation eines neuen Server 2016 mit der CA Rolle (Unternehmens-CA, Stamm-CA) und neuen Namen.
    2. Herunterfahren der alten ROOT-CA.
    3. CNAME setzen damit der alte Name noch erreichbar ist.
    4. Dann würde ich die Schritte wie hier durchgehen -> https://technikblog.rachfahl.de/losungen/umzug-einer-pki-von-windows-server-2008-r2-auf-windows-server-2012-r2/

    Ginge das so?
    Wie könnte ich dann testen ob mit der ROOT-CA alles OK ist?

    Sorry für die vielen Fragen.
    Aber das Thema CA ist bissl Tricky und man findet auch nicht so viele Experten ;-)

    Donnerstag, 22. August 2019 07:55