122678
Goto Top

Kein Zugriff auf die PKI

Hallo und guten Morgen,

ich bin neu hier und möchte mich "superkurz" vorstellen. Ich war über 30 Jahre in der IT als Partner-Manager tätig, war allerdings nie tief in die Materie eingebunden, da genügend Unternehmens-Resourcen zur Verfügung stand. In den letzten eineinhalb Jahren habe ich mich mit dem Thema Virtualisierung beschäftigt und mir hier mittlerweile ein recht, für meine Ansprüche, komplexes System "erbaut". Grundsätzlich besteht es aus einem Server (Dell T20, 32GB ECC, Xeon CPU), der mir als Host für diverse VM´s dient (DC, Exchange, PKI, VPN, WSUS, ipFire, Veeam). Des Weiteren dient mir ein HP Mikroserver Gen8 unter N4f mit ZFS1 und 24TB Nettokapazität als NAS, der selbe noch einmal als Backup-Server (der über rsync allmorgendlich das NAS sichert - also auch die veeam-Backups). Als Arbeitsstation dient mir ein iMac, der auch in die Domäne eingebunden ist. Ein Cisco-Switch stellt alle Verbindungen, auch die VLANS zur Verfügung!

Jetzt zu meinem Problem:
Irgendetwas war mit dem PKI-Server passiert, der sich nicht mehr starten lies. Ich stellte ihn per veeam wieder her, nannte ihn dann aber um. Den alten PKI-Server habe ich herunter gefahren.

Auf den wiederhergestellten kann ich nicht zugreifen, da bekomme ich die Meldung:
"Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne kann nicht hergestellt werden"

Jetzt habe ich dazu einiges gelesen. Aber wie soll ich etwas machen können, wenn ich nicht auf die VM zugreifen kann?

Kann mir jemand einen Rat geben, der sich als "best practice" heraus gestellt hat?

DANKE DAFÜR

Oberhausener

Content-Key: 275023

Url: https://administrator.de/contentid/275023

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: emeriks
emeriks 19.06.2015 um 13:20:17 Uhr
Goto Top
... nannte ihn dann aber um
Das überlebt - meines Wissens - die CA nicht.

"Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne kann nicht hergestellt werden"
Wie alt war das Backup? Hier sollte ein einfaches Aus- und Wiedereintreten in die Domäne helfen.

Ich würde Dir raten:
  1. Die alte VM ausgeschaltet lassen.
  2. Die VM nocheinmal wiederherstellen.
  3. Hochfahren, mit lokalem Admin anmelden und Domänenbeitritt wiederholen.
Die CA sollte dann wieder laufen.

E.
Mitglied: 122678
122678 19.06.2015 um 13:57:21 Uhr
Goto Top
Hallo @emeriks,

erst einmal vielen Danke für Deine Hilfe. Das die CA Schaden genommen hat, dass kann ich mir vorstellen. Aber die Frage, die ich mir stelle ist, wie sich das "nicht funktionieren" der CA wann bemerkbar macht? Sie war ja für den Exchange-Server eingerichtet...meine Mails bekomme und versende ich noch ohne Probleme. Es wäre für mich einmal wichtig, dass Du mir mal "sagst" wann und woran ich das merke.

Das zweite: ich habe mir eine 2stufige CA erstellt, sie soweit eingerichtet, dass ich mir das Zertifikat ansehen kann, wenn ich mit dem IE das "Sicherheitsschloss" anklicke. Beide CA´s, die Root- als auch die Sub sind Mitglied der Domäne. Ich weiß einfach nicht mehr, wie ich die CA für meine Mails nutzen kann? Könntest Du mir hier einen Tip geben?

DANKE und Gruß

Oberhausener
Mitglied: emeriks
emeriks 19.06.2015 um 14:23:29 Uhr
Goto Top
Welche CA ist denn jetzt defekt? Die Root- oder die Intermediate-CA?

Dass die CA Schaden genommen hat, das kann ich mir vorstellen. Aber die Frage, die ich mir stelle ist, wie sich das "nicht funktionieren" der CA wann bemerkbar macht?
Na, Du kannst nicht auf sie zugreifen. Weder per Browser noch per MMC. Und das Abrufen von Zertifikaten und Sperrlisten geht nicht mehr.

Sie war ja für den Exchange-Server eingerichtet
Du meinst, der Exchange Server hatte ein von dieser CA ausgestelltes SSL-Zertifikat?

Ich will jetzt keine Halbwahrheiten verbreiten, aber soweit ich das noch zusammenbekomme:
Solange ein Client von allen noch gültigen Zertifikaten eigene, lokale Kopien hat, wird er diese nicht anmeckern und anstandslos verwenden.
Wenn also einer Deiner Clients den Exchange über SSL anspricht, dann lädt der Client das öffentliche Zertifikat des Servers vom Server selbst herunter und prüft, ob er diesem vertrauen kann. Die Prüfung erfolgt dadurch, dass a) das Zertifikat auf Ablauf geprüft wird, ob es in der Sperrliste steht und ob er dem Zertifizierungspfad des Zertifikats trauen kann, also allen dort genannten Zwischenzertifizierungsstellen und letztlich der Root. Entweder kann er das prüfen, indem er die Zertifierunsgstellen anruft oder - wenn diese nicht greifbar sind - er in seinem lokalen Speicher unter "vertrauenswürdigen Zwischenzertifizierungsstellen" bzw. "vertrauenswürdige Stammzertifierungsstellen" gültige öffentliche Zertifikate dieser CA's gespeichert hat. In einer Domäne sollte dem so sein, wenn die CA in der Domäne veröffentlicht war/ist. Dann habe sich alle Clients diese Zertifikate heruntergeladen. Und solange diese noch nicht abgelaufen sind, gelten sie weiter, auch wenn die CA nicht mehr reagiert.

(Wenn ich hier Mist geschrieben habe und jemand das besser (korrekter) weiß, so möge er/sie mich bitte korrigieren.)

Ich weiß einfach nicht mehr, wie ich die CA für meine Mails nutzen kann? Könntest Du mir hier einen Tip geben?
Dem Benutzer muss ein Zertifkat ausgestellt worden sein, mit dem er seine Identität belegen kann. Das müsste die Vorlage "Benutzer" sein.
Wenn von diesem Zertifikat auch den privaten Schlüssel hat (der Normalfall), dann kann er damit z.B. im Outlook seine Mails signieren.
Wenn er Mails verschlüsseln will, dann benötigt er vom Empfänger der Mail den öffentlichen Schlüssel des Benutzerzertifikats des Empfängers. Der Empfänger kann dann diese Mail mit dem privaten Schlüssel seines Zertifikats entschlüsseln.

E.
Mitglied: 122678
122678 19.06.2015 um 14:41:43 Uhr
Goto Top
@emericks,

die neu erstellte 2stufige CA ist nicht defekt! Die habe ich gestern ja erst neu erstellt. Im Dezember hatte ein Bekannter, durchzertifiziert bis in alle Bereiche...mir die PKI erstellt (keine 2stufige), die dann, warum auch immer, nicht mehr startete und ich wiederherstellte. Sie ist jetzt herunter gefahren

Also..zum besseren Verständnis beschreibe ich es noch mal: die wiederhergestellte SRV-PKn (vorher SRV-PKI) ist hochgefahren...aber eben nicht "ansprechbar". Die neuerstellte 2stufige läuft jetzt auch - und wenn mir jemand mitteilen kann, wie man prüfen kann, dass Sie online ist, dann wäre das toll. Wie schon erwähnt kann ich sie (die Sub) über den IE "ansprechen" und es wird mir auch das Zertifikat angezeigt.

Aber...würde sie ihren Job tun, dass der Exchange davon profitiert? Soweit ich weiß gilt doch folgendes: Sobald eine Enterprise PKI installierst ist, ist diese doch produktiv, da sie sich über das Active Directory publiziert. Aber müssen nicht noch etliche Einträge in der ADS geprüft oder eingegeben werden?
Mitglied: emeriks
Lösung emeriks 19.06.2015 aktualisiert um 16:25:09 Uhr
Goto Top
Ach so.
Also der Exchange wird nicht freiwillig ein anderes Zertifikat benutzen. Das musst Du diesem explizit angeben. (Managing Certificates in Exchange Server 2010)
Wenn Du allgemein automatisch Zertifikate an die Clients und Benutzer verteilen willst, dann heißt das Stichwort "Autoenrollment" (Configure Certificate Autoenrollment)
Mitglied: 122678
122678 19.06.2015 um 16:29:28 Uhr
Goto Top
GENAU...das war esface-smile Autoenrollment!!! Ich habe im wahrsten Sinne des Wortes auf meinem NAS viele Hunderte Dokumente und Attachments durchsuchen lassen - und aus einem PKI-Kurs, den mein besagter Bekannter geleitet hatte eben dieses Attachment gefunden. Dort ist nicht nur bis ins Detail die Installation/Konfiguration beschrieben....sondern auch das Auto Enrollment!

ICH DANKE DIR FÜR DEN ZÜNDENDEN GEDANKEN!!!!!

Oberhausener