none
Rinnovo CA 2003 su dominio 2008 R2 RRS feed

  • Domanda

  • Ciao,

    ho dovuto aggiornare di recente, dato l'avvicnarsi della sua scadenza una CA Root posta su un server 2003 ma in un dominio 2008 R2.

    L'operazione è andata a buon fine ora vedo nelle Trusted root certification authorities del DC la nuova root CA che ho creato e fin qui tutto bene.

    Tuttavia notavo che sui client la nuova root CA non è ancora stata applicata ad i client (parlo di circa 4 client dopo 5 ore e un riavvio) e mi sto chiedo dopo quanto posso aspettarmi di vedere aggiornare le trusted root certificates dei client?

    Notavo inoltre che vi è sia nei client sia nei dc la root CA per il mio FQDN che però non mi risulta mai aver creato, il rinnovo di questo viene gestito in maniera automatica? Non avendo certificati emessi x questa root CA (del mio FQDN) devo preoccuparmi?

    Grazie in anticipo

    Friedenthal

    giovedì 13 dicembre 2012 17:53

Risposte

Tutte le risposte

  • mi sfugge una cosa: se scadeva il certificato root della CA perchè non hai semplicemente rinnovato il suo certificato ? oppure hai fatto proprio questo ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    venerdì 14 dicembre 2012 10:03
    Moderatore
  • Allora, il certificato della root CA era sito.com ed è stato appunto rinnovato.

    Poi ho il certificato dominio.local con medesima ma scadenza ma non capisco da chi o cosa sia rilasciato.

    lunedì 17 dicembre 2012 14:43
  • Allora, il certificato della root CA era sito.com ed è stato appunto rinnovato.


    bene, e dopo aver rinnovato il certificato root della tua CA hai rifatto l'operazione di trust nelle domain policies ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    martedì 18 dicembre 2012 12:40
    Moderatore
  • Onestamente non capisco cosa mi stai suggerendo quindi no, cosa dovrei fare esattamente?

    PS: ad alcuni client (specie gli XP e i server 2003) il nuovo certificato è stato preso, per i 7 e i 2008 pare di no.

    Grazie

    martedì 18 dicembre 2012 13:51
  • Ok cercando un pò ho trovato, credo tu ti riferisca a ciò: http://technet.microsoft.com/en-us/library/cc772491.aspx

    Ok provo poi aggiorno, ma ora domanda.... e il certificato domain.local che non capisce da chi sia rilasciato? :\

    martedì 18 dicembre 2012 15:29
  • per il certificato domain.local fai doppio click sul certificato per visualizzare le proprietà, vai sul terzo tab "percorso di certificazione" e guarda chi è il parent di quel certificato.

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    martedì 18 dicembre 2012 16:55
    Moderatore
  • Ho fatto, non è molto esaustivo....riporta solo domain.local nella certification path, nulla alla radice.

    Boh...non capisco nemmeno a che serva, tra l'altro anche il certificato aggiornato non era in nessuna policy cosi come il vecchie quindi non capisco nemmeno come si siano distributii.

    martedì 18 dicembre 2012 17:10
  • Rettifco, ho trovato questo 

    [1]CRL Distribution Point
         Distribution Point Name:
              Full Name:
                   URL=ldap:///CN=DOMAIN.LOCAL,CN=CAServer,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=domain,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
                   URL=http://CAServer.domain.local/CertEnroll/DOMAIN.LOCALl.crl

    Tuttavia all'URL non trovo quel file CLR, trovo invece il file sito.com che ha come issuer CN=sito.com e DC=domain DC=local.


    martedì 18 dicembre 2012 17:29
  • qualcuno può aver installato la CA su un dominio con nome diverso e aver poi rifatto tutto con il nuovo nome ?

    qual'è l'intervallo di validità del certificato per domain .local ?


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    mercoledì 19 dicembre 2012 11:37
    Moderatore
  • No, la CA è sempre stata sito.com.

    Dal 2008 al febbraio 2013, come sito.com in precedenza (ora 2017)

    mercoledì 19 dicembre 2012 14:00
  • il tuo dominio active directory si chiama in effetti dominio.local ?


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 20 dicembre 2012 09:25
    Moderatore
  • Si, si chiama proprio cosi e ho notato che i certificati vengono "distribuiti" quando le macchine entrano in dominio.
    giovedì 20 dicembre 2012 14:11
  • questo perchè la CA di dominio e tutti i computer che appartengono al dominio (sia clients sia domain controllers) sono configurati per ottenere i certificati da quella CA in automatico quindi la CA il suo root certificate deve avercelo ed è quello che vedi.

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    giovedì 20 dicembre 2012 14:19
    Moderatore
  • Ok ma quindi come rinnovo la CA di dominio e non avendo nulla di correlato, a che serve?

    Grazie

    giovedì 20 dicembre 2012 15:13
  • quado scade il certificato domain.local ?

    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    venerdì 21 dicembre 2012 08:03
    Moderatore
  • Il 18/02/13, il giorno esatto della precedente scadenza della CA (sito.com) solo che, non trovandolo non saprei nemmeno come rinnovarlo.

    Ma a questo punto chiedo, è possibile che un dominio AD 2008 R2 genera autonomamente un certificato che poi rilascia ai client? Cmq su un client ho provato a cancellarlo e non succede niente, funziona tutto tranquillamente solo che non so cosa potrebbe implicare ad esempio all'AD una volta che scade.

    Grazie

    Friedenthallo

    venerdì 21 dicembre 2012 09:58
  • il discorso diventa estremamente lungo.

    ti consiglio di leggerti attentamente questo documento

    http://technet.microsoft.com/en-us/library/cc700804.aspx

    almeno per avere una buona infarinatura sul funzionamento di una CA in dominio.

    ciao.


    Edoardo Benussi
    Microsoft MVP
    edo[at]mvps[dot]org

    • Contrassegnato come risposta Anca Popa lunedì 28 gennaio 2013 11:15
    venerdì 21 dicembre 2012 10:12
    Moderatore
  • Ciao Friedenthallo,

    Il tuo thread nel Forum di TechNet è ancora aperto per noi.

    Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community se puoi condividere una soluzione tua.

    Grazie della collaborazione,



    Anca Popa Follow ForumTechNetIt on Twitter

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda. 

    giovedì 17 gennaio 2013 17:25