Remove From My Forums

Rinnovo CA 2003 su dominio 2008 R2

Domanda
0

Registrati per votare

Ciao,

ho dovuto aggiornare di recente, dato l'avvicnarsi della sua scadenza una CA Root posta su un server 2003 ma in un dominio 2008 R2.

L'operazione è andata a buon fine ora vedo nelle Trusted root certification authorities del DC la nuova root CA che ho creato e fin qui tutto bene.

Tuttavia notavo che sui client la nuova root CA non è ancora stata applicata ad i client (parlo di circa 4 client dopo 5 ore e un riavvio) e mi sto chiedo dopo quanto posso aspettarmi di vedere aggiornare le trusted root certificates dei client?

Notavo inoltre che vi è sia nei client sia nei dc la root CA per il mio FQDN che però non mi risulta mai aver creato, il rinnovo di questo viene gestito in maniera automatica? Non avendo certificati emessi x questa root CA (del mio FQDN) devo preoccuparmi?

Grazie in anticipo

Friedenthal

giovedì 13 dicembre 2012 17:53

Risposte

0

Registrati per votare
il discorso diventa estremamente lungo.

ti consiglio di leggerti attentamente questo documento

http://technet.microsoft.com/en-us/library/cc700804.aspx

almeno per avere una buona infarinatura sul funzionamento di una CA in dominio.

ciao.
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org
- Contrassegnato come risposta Anca Popa lunedì 28 gennaio 2013 11:15
venerdì 21 dicembre 2012 10:12

Moderatore

Tutte le risposte

0

Registrati per votare

mi sfugge una cosa: se scadeva il certificato root della CA perchè non hai semplicemente rinnovato il suo certificato ? oppure hai fatto proprio questo ?
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org

venerdì 14 dicembre 2012 10:03

Moderatore
0

Registrati per votare

Allora, il certificato della root CA era sito.com ed è stato appunto rinnovato.

Poi ho il certificato dominio.local con medesima ma scadenza ma non capisco da chi o cosa sia rilasciato.

lunedì 17 dicembre 2012 14:43
1

Registrati per votare
Allora, il certificato della root CA era sito.com ed è stato appunto rinnovato.

bene, e dopo aver rinnovato il certificato root della tua CA hai rifatto l'operazione di trust nelle domain policies ?
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org
- Proposto come risposta Edoardo BenussiMVP, Moderator martedì 18 dicembre 2012 12:40
- Proposta come risposta annullata Anca Popa lunedì 28 gennaio 2013 11:35
martedì 18 dicembre 2012 12:40

Moderatore
0

Registrati per votare

Onestamente non capisco cosa mi stai suggerendo quindi no, cosa dovrei fare esattamente?

PS: ad alcuni client (specie gli XP e i server 2003) il nuovo certificato è stato preso, per i 7 e i 2008 pare di no.

Grazie

martedì 18 dicembre 2012 13:51
0

Registrati per votare

Ok cercando un pò ho trovato, credo tu ti riferisca a ciò: http://technet.microsoft.com/en-us/library/cc772491.aspx

Ok provo poi aggiorno, ma ora domanda.... e il certificato domain.local che non capisce da chi sia rilasciato? :\

martedì 18 dicembre 2012 15:29
0

Registrati per votare

per il certificato domain.local fai doppio click sul certificato per visualizzare le proprietà, vai sul terzo tab "percorso di certificazione" e guarda chi è il parent di quel certificato.
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org

martedì 18 dicembre 2012 16:55

Moderatore
0

Registrati per votare

Ho fatto, non è molto esaustivo....riporta solo domain.local nella certification path, nulla alla radice.

Boh...non capisco nemmeno a che serva, tra l'altro anche il certificato aggiornato non era in nessuna policy cosi come il vecchie quindi non capisco nemmeno come si siano distributii.

martedì 18 dicembre 2012 17:10
0

Registrati per votare

Rettifco, ho trovato questo
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=ldap:///CN=DOMAIN.LOCAL,CN=CAServer,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=domain,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
URL=http://CAServer.domain.local/CertEnroll/DOMAIN.LOCALl.crl

Tuttavia all'URL non trovo quel file CLR, trovo invece il file sito.com che ha come issuer CN=sito.com e DC=domain DC=local.

martedì 18 dicembre 2012 17:29
0

Registrati per votare

qualcuno può aver installato la CA su un dominio con nome diverso e aver poi rifatto tutto con il nuovo nome ?

qual'è l'intervallo di validità del certificato per domain .local ?
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org

mercoledì 19 dicembre 2012 11:37

Moderatore
0

Registrati per votare

No, la CA è sempre stata sito.com.

Dal 2008 al febbraio 2013, come sito.com in precedenza (ora 2017)

mercoledì 19 dicembre 2012 14:00
0

Registrati per votare

il tuo dominio active directory si chiama in effetti dominio.local ?

Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org

giovedì 20 dicembre 2012 09:25

Moderatore
0

Registrati per votare

Si, si chiama proprio cosi e ho notato che i certificati vengono "distribuiti" quando le macchine entrano in dominio.

giovedì 20 dicembre 2012 14:11
0

Registrati per votare

questo perchè la CA di dominio e tutti i computer che appartengono al dominio (sia clients sia domain controllers) sono configurati per ottenere i certificati da quella CA in automatico quindi la CA il suo root certificate deve avercelo ed è quello che vedi.

ciao.
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org

giovedì 20 dicembre 2012 14:19

Moderatore
0

Registrati per votare

Ok ma quindi come rinnovo la CA di dominio e non avendo nulla di correlato, a che serve?

Grazie

giovedì 20 dicembre 2012 15:13
0

Registrati per votare

quado scade il certificato domain.local ?
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org

venerdì 21 dicembre 2012 08:03

Moderatore
0

Registrati per votare

Il 18/02/13, il giorno esatto della precedente scadenza della CA (sito.com) solo che, non trovandolo non saprei nemmeno come rinnovarlo.

Ma a questo punto chiedo, è possibile che un dominio AD 2008 R2 genera autonomamente un certificato che poi rilascia ai client? Cmq su un client ho provato a cancellarlo e non succede niente, funziona tutto tranquillamente solo che non so cosa potrebbe implicare ad esempio all'AD una volta che scade.

Grazie

Friedenthallo

venerdì 21 dicembre 2012 09:58
0

Registrati per votare
il discorso diventa estremamente lungo.

ti consiglio di leggerti attentamente questo documento

http://technet.microsoft.com/en-us/library/cc700804.aspx

almeno per avere una buona infarinatura sul funzionamento di una CA in dominio.

ciao.
Edoardo Benussi
Microsoft MVP
edo[at]mvps[dot]org
- Contrassegnato come risposta Anca Popa lunedì 28 gennaio 2013 11:15
venerdì 21 dicembre 2012 10:12

Moderatore
0

Registrati per votare

Ciao Friedenthallo,

Il tuo thread nel Forum di TechNet è ancora aperto per noi.

Se i consigli ricevuti ti sono stati utili, ricorda di evidenziare la soluzione cliccando su "Segna come Risposta". Aggiungo che il tuo riscontro tornerà sicuramente utile per chi si dovesse trovare nella medesima situazione, così è molto gradito dai membri della community se puoi condividere una soluzione tua.

Grazie della collaborazione,

Anca Popa

Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda.

giovedì 17 gennaio 2013 17:25

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

Rinnovo CA 2003 su dominio 2008 R2

Domanda

Risposte

Tutte le risposte