10
Migration Zertifikatsserver
Hallo,
wir haben einen virtualisierten Windows Server 2008 R2 Domänencontroller mit installierter Root-CA. Dieser Server soll nun durch eine Neuinstallation auf Windows Server 2016 aktualisiert werden, dabei wäre es wünschenswert, wenn der Zertifiaktsserver auf einen separaten Server umziehen könnte.
Soweit ich richtig informiert bin, darf sich der DNS-Name des Zertifikatsservers nicht ändern, ist das noch so richtig? Oder bezieht sich das nur auf den Namen der CA? Muss der Zertifikatssserver auch nach der Migration unbedingt auf einem Domänencontroller laufebn, oder kann er auf einen Memberserver migriert werden?
Vielen Dank für eure Hinweise.
wir haben einen virtualisierten Windows Server 2008 R2 Domänencontroller mit installierter Root-CA. Dieser Server soll nun durch eine Neuinstallation auf Windows Server 2016 aktualisiert werden, dabei wäre es wünschenswert, wenn der Zertifiaktsserver auf einen separaten Server umziehen könnte.
Soweit ich richtig informiert bin, darf sich der DNS-Name des Zertifikatsservers nicht ändern, ist das noch so richtig? Oder bezieht sich das nur auf den Namen der CA? Muss der Zertifikatssserver auch nach der Migration unbedingt auf einem Domänencontroller laufebn, oder kann er auf einen Memberserver migriert werden?
Vielen Dank für eure Hinweise.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 372075
Url: https://administrator.de/contentid/372075
Printed on: April 20, 2024 at 00:04 o'clock
10 Comments
Latest comment
Moin,
- ja Name sollte gleich bleiben (wg. OCSP und CRL-Urls usw)
- die CA ist in der Tat auf einem Memberserver besser aufgehoben als auf einem DC
lg,
Slainte
- ja Name sollte gleich bleiben (wg. OCSP und CRL-Urls usw)
- die CA ist in der Tat auf einem Memberserver besser aufgehoben als auf einem DC
lg,
Slainte
Moin,
würde Dir auch dringend raten, den Server separat zu installieren und NICHT auf nem DC!
Eine schicke Anleitung dazu gibt es hier:
http://asichel.de/2017/01/02/zertifizierungsstelle-ca-auf-server-2016-u ...
Gruß
würde Dir auch dringend raten, den Server separat zu installieren und NICHT auf nem DC!
Eine schicke Anleitung dazu gibt es hier:
http://asichel.de/2017/01/02/zertifizierungsstelle-ca-auf-server-2016-u ...
Gruß
Hallo,
darf ich mal nachhaken?
warum ?
Grüße
lcer
darf ich mal nachhaken?
würde Dir auch dringend raten, den Server separat zu installieren und NICHT auf nem DC!
warum ?
Grüße
lcer
Hallo,
meine Frage zielt eher in die Richtung, ob eine auf einem DC bestehende CA auf einem Memberserver weiterlaufen kann, oder ob diese(!) CA grundsätzlich nur auf einen DC migriert werden darf. Ich meine dazu mal irgendwo etwas gelesen zu haben, daher bin ich unsicher.
In beiden Fällen wäre die Beibehaltung des alten Namens machbar, wenn diese CA jedoch auf einem DC laufen muss, dann wird der Prozess etwas komplizierter.
meine Frage zielt eher in die Richtung, ob eine auf einem DC bestehende CA auf einem Memberserver weiterlaufen kann, oder ob diese(!) CA grundsätzlich nur auf einen DC migriert werden darf. Ich meine dazu mal irgendwo etwas gelesen zu haben, daher bin ich unsicher.
In beiden Fällen wäre die Beibehaltung des alten Namens machbar, wenn diese CA jedoch auf einem DC laufen muss, dann wird der Prozess etwas komplizierter.
Moin,
Gruß,
Dani
Soweit ich richtig informiert bin, darf sich der DNS-Name des Zertifikatsservers nicht ändern, ist das noch so richtig?
der DNS Name des Servers darf sich durch aus ändern, wenn die Zertifizierungsstelle entsprechend damals konfiguriert wurde (Veröffentlichung CRL, Veröffentlichung Zertifikate, etc...).würde Dir auch dringend raten, den Server separat zu installieren und NICHT auf nem DC!
Naja, es heißt nach wie vor in Schulungen und Ausbildung - ein DC ist ein DC und nichts anderes. Zu dem geht es auch ein bisschen um Security. Potenziell ist ein Webserver bzw. Applikation ein Einfallstor. In Worst Case ist eben ein Angreifer direkt auf dem Domain Controller. Was natürlich suboptimal ist.In beiden Fällen wäre die Beibehaltung des alten Namens machbar, wenn diese CA jedoch auf einem DC laufen muss, dann wird der Prozess etwas komplizierter.
Ich würde die Chance ergreifen und die PKI frisch aufsetzen - unter den aktuellen Gesichtspunkten (separate VM, neutraler DNS-Name, keine Standardvorlagen abändern sondern kopieren und anschließend anpassen, etc...). Da könnt ich problemlos noch weiter ausführen...Gruß,
Dani
Hi,
steht alles bei Mutti im Kochbuch:
Active Directory Certificate Services Migration Guide for Windows Server 2012 R2
E.
steht alles bei Mutti im Kochbuch:
Active Directory Certificate Services Migration Guide for Windows Server 2012 R2
Applies To: Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012
E.
@lcer00
Nein, darfst Du nicht. Ich will hier einfach nur irgendwas behaupten und hoffe, dass mir niemand das Gegenteil beweisen kann.
Und im Ernst:
- Da der Name des Servers nicht geändert werden sollte, kommt es u.U. zu Irritationen. Aus nahe liegenden Gründen hat der Server ja meist einen sprechenden Namen, z.B. DC01 oder Cert-CA. Der DC ist irgendwann nicht mehr im Dienst, wabert dann aber immer noch als DC01 umher. Oder der DC heißt Cert-CA, auf den ersten Blick ist also nicht erkennbar, dass es sich um einen DC handelt.
- Es gibt immer wieder spaßige Momente wie diesen:
https://www.fachinformatiker.de/topic/151917-fehler-bei-der-installation ...
Ich hatte sowas früher selbst mal, Du willst den DC nicht mit Problemen belasten, die eigentlich gar nicht seine Probleme sind.
- Nachtrag zum vorigen Punkt: Ein DC ist ein DC ist ein DC
- Sicherheitsaspekte. Warum sollte ich auf dem DC einen weiteren möglichen Angriffspunkt bereitstellen?
- Wenn Du nach den Microsoft Best Practices gehst, wird eh eine Offline-CA installiert, die KEIN Mitglied der Domäne ist. Dementsprechend erledigt sich auch die Frage nach der Installation auf einem DC:
https://gallery.technet.microsoft.com/Active-Directory-7a04769f
Gruß
darf ich mal nachhaken?
Nein, darfst Du nicht. Ich will hier einfach nur irgendwas behaupten und hoffe, dass mir niemand das Gegenteil beweisen kann.
Und im Ernst:
- Da der Name des Servers nicht geändert werden sollte, kommt es u.U. zu Irritationen. Aus nahe liegenden Gründen hat der Server ja meist einen sprechenden Namen, z.B. DC01 oder Cert-CA. Der DC ist irgendwann nicht mehr im Dienst, wabert dann aber immer noch als DC01 umher. Oder der DC heißt Cert-CA, auf den ersten Blick ist also nicht erkennbar, dass es sich um einen DC handelt.
- Es gibt immer wieder spaßige Momente wie diesen:
https://www.fachinformatiker.de/topic/151917-fehler-bei-der-installation ...
Ich hatte sowas früher selbst mal, Du willst den DC nicht mit Problemen belasten, die eigentlich gar nicht seine Probleme sind.
- Nachtrag zum vorigen Punkt: Ein DC ist ein DC ist ein DC
- Sicherheitsaspekte. Warum sollte ich auf dem DC einen weiteren möglichen Angriffspunkt bereitstellen?
- Wenn Du nach den Microsoft Best Practices gehst, wird eh eine Offline-CA installiert, die KEIN Mitglied der Domäne ist. Dementsprechend erledigt sich auch die Frage nach der Installation auf einem DC:
https://gallery.technet.microsoft.com/Active-Directory-7a04769f
Gruß
Zitat von @Coreknabe:
- Da der Name des Servers nicht geändert werden sollte, kommt es u.U. zu Irritationen. Aus nahe liegenden Gründen hat der Server ja meist einen sprechenden Namen, z.B. DC01 oder Cert-CA. Der DC ist irgendwann nicht mehr im Dienst, wabert dann aber immer noch als DC01 umher. Oder der DC heißt Cert-CA, auf den ersten Blick ist also nicht erkennbar, dass es sich um einen DC handelt.
- Da der Name des Servers nicht geändert werden sollte, kommt es u.U. zu Irritationen. Aus nahe liegenden Gründen hat der Server ja meist einen sprechenden Namen, z.B. DC01 oder Cert-CA. Der DC ist irgendwann nicht mehr im Dienst, wabert dann aber immer noch als DC01 umher. Oder der DC heißt Cert-CA, auf den ersten Blick ist also nicht erkennbar, dass es sich um einen DC handelt.
Genau da liegt das Problem bei uns, die Konstellation sieht wiefolgt aus:
Ist-Zustand
Server: DC + CA
Hostname: dc.firma.de
CA-Name: ca.firma.de
Soll-Zustand
1. Server: DC
Hostname: dcneu.firma.de
2. Server: CA
Hostname: caserver.firma.de
CA-Name: ca.firma.de
Der CA-Name ist also nicht mit dem Servernamen identisch, jedoch steht in der CRL folgendes:
[1]Sperrlisten-Verteilungspunkt
Name des Verteilungspunktes:
Vollst. Name:
URL=ldap:///CN=ca.firma.de,CN=dc,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=firma,DC=de?certificateRevocationList?base?objectClass=cRLDistributionPoint
URL=http://dc.firma.de/CertEnroll/ca.firma.de.crl
Da in der URL dc.firma.de steht, kommen wir um die Beibehaltung des alten Hostnamens so einfach nicht herum, oder? Eine Neuinstallation der CA ist aktuell kein Thema. Wenn dem also so ist, dann bleibt aus meiner Sicht folgende Möglichkeit:
1. Server: DC
Hostname: dcneu.firma.de
2. Server: CA
Hostname: dc.firma.de
CA-Name: ca.firma.de
Unschön ist die auch von Dir beschriebene Konstallation, dass der Name dc.firma.de in dem Fall irreführend ist, das war's aber auch. Nochmal die ursprüngliche Frage meines Beitrages: Kann die CA unter Beibehaltung des Hostnamens auf von einem DC auf einen Memberserver migriert werden?
Alternativ käme mir noch die Idee, ob wir den neuen Hostname der CA ändern können und mit einem DNS-Alias die CRL erreichbar lassen. Wäre das machbar?
Zitat von @JoeDevlin:
Kann die CA unter Beibehaltung des Hostnamens auf von einem DC auf einen Memberserver migriert werden?
Ja, das sollte funktionieren.Kann die CA unter Beibehaltung des Hostnamens auf von einem DC auf einen Memberserver migriert werden?
Alternativ käme mir noch die Idee, ob wir den neuen Hostname der CA ändern können und mit einem DNS-Alias die CRL erreichbar lassen. Wäre das machbar?
Hast Du keine Möglichkeit, Dir eine kleine VM-Umgebung aufzubauen und das durchzuspielen?Zitat von @emeriks:
Hast Du keine Möglichkeit, Dir eine kleine VM-Umgebung aufzubauen und das durchzuspielen?
Hast Du keine Möglichkeit, Dir eine kleine VM-Umgebung aufzubauen und das durchzuspielen?
Ich bin gerade dabei das in einer Veeam SureBackup-Umgebung durchzuspielen.
