locked
Rimozione del ruolo di Autorità di Certificazione - SBS2008 RRS feed

  • Domanda

  • Buongiorno

    Sto migrando un sistema informatico basato su SBS2008 a sistemi server basati su Windows 2016.

    Non posso assolutamente migrare la CA decommissionando in questa fase l'intero server su cui è installata perché è proprio il server SBS e non siamo pronti a farlo ora. Le procedure che trovo pubblicate da Microsoft rimandano appunto alla necessità che il server nuovo abbia lo stesso nome host. Non posso procedere così.

    Siccome la CA è davvero banalmente utilizzata, in passato l'ho usata per emettere certificati autofirmati per RDP e servizi WEB, che succede se, previo backup, la rimuovo completamente e ne installo una nuova sul server nuovo?

    Dalla consolle di IIS di siti web che utilizzino certificati emessi dalla CA attuale non ce ne sono più. Potrebbe esserci qualche servizio nascosto legato a SBS2008?

    Grazie in anticipo per i suggerimenti che certamente arriveranno.

    Ciao!

    martedì 11 settembre 2018 13:25

Tutte le risposte

  • Non ho capito...tralasciando per un attimo la CA, stai migrando l'SBS o no? Perché devi rispettare precise tempistiche per non avere arresti automatici del server SBS.
    Per ulteriori informazioni sulle limitazioni di SBS:
    https://social.technet.microsoft.com/Forums/it-IT/92be9f41-aa57-46fe-ba00-44f44d15755e/windows-server-essentials-e-small-business-server-sbs-caratteristiche-e-limitazioni?forum=sbsserverit
    martedì 11 settembre 2018 19:53
    Moderatore
  • è proprio quello il punto: sto migrando, step by step, i servizi ospitati dalla coppia di server SBS2008 Premium. Exchange, Sharepoint, fileserver, DB, WSUS e una marea di altre piccole cose (il sistema è su da quasi 9 anni)... l'ultimo sarà la migrazione dei ruoli AD che non posso mettere in cantiere in questa fase.

    Mi fa comodo migrare la CA in questo momento per non accumulare troppa carne quando la migrazione dei ruoli FSMO imporrà la deadline degli arresti automatici.

    Mi chiedevo in sostanza se la rimozione del ruolo CA dal server SBS2008 potrebbe causare effetti indesiderati su altri servizi o qualche problema di accesso.

    Usavo un certificato autofirmato dipendente dalla CA di SBS2008 per il gateway RDP e per RWW. Ora entrambi usano un certificato rilasciato esternamente.

    Non mi risulterebbe altro.

    Ovviamente procedo con cautela e solo con la certezza di un backup consistente.

    Grazie

    martedì 11 settembre 2018 21:16
  • Se il server verso il quale stai migrando non è Essentials allora va bene, altrimenti fare la migrazione di AD prima o dopo è indifferente (ti troveresti comunque in grace period appena inserito in dominio il secondo Essentials).
    In ogni caso se già utilizzi un certificato esterno non dovresti riscontrare problemi, ma non capisco a questo punto perché devi rimuovere questa vecchia CA. 
    mercoledì 12 settembre 2018 18:04
    Moderatore
  • I sistemi windows server 2016 verso cui sto migrando i servizi sono tutti in versione STD. Conosco le limitazioni si SBS ed Essentials e voglio affrontare il grace period in maniera più snella possibile.

    Rimuovo la vecchia CA perché è sul server primario di SBS, quello che verrà dismesso (obbligatoriamente oltre che per obsolescenza).

    Ho necessità di una nuova CA perché devo distribuire un certificato SSL autofirmato ai PC del dominio per alcuni nuovi servizi e la CA mi fa comodo.

    Non è possibile rimuovere la vecchia CA dopo l'installazione della nuova perché questa operazione interferirebbe con il funzionamento della nuova. (stando alla documentazione Microsoft)

    Spero di aver chiarito i punti non chiari.

    Grazie per la risposta,

    ciao!

    mercoledì 12 settembre 2018 18:27
  • OK, quindi da quanto ho capito stai configurando la nuova CA solo per l'Exchange, giusto?
    Altrimenti se tutti i certificati che utilizzi sono pubblici per il solo dominio non è richiesta una CA privata.
    mercoledì 12 settembre 2018 20:04
    Moderatore