12
Windows Zertifizierungsstelle - Root-Cert verlängern nicht möglich
Hallo zusammen,
ich habe ein kleines Problem. Unser Root-Cert unserer internen PKI läuft bald ab und ich möchte es verlängern. Laut MS TechNet auch kein Problem, nur den dazugehörigen Eintrag finde ich nicht im Kontextmenü der MMC bei gestoppter CA:
Der Server, auf welchem die PKI läuft, ist ein Windows Server 2012 R2 DataCenter in der Core-Installation als Hyper-V VM. Der Zugriff per MMC erfolgt über einen zweiten Windows Server 2012 R2 DataCenter. Die PKI wurde vor über einem Jahr von einem physischem Windows Server 2008 R2 System rübergezogen. Darauf lief sie über fünf Jahre und das Root-Cert wurde damals bereits einmal verlängert.
Fehlen hierbei irgendwelche Berechtigung (Zugriff als Domain-Admin), die beim Umzug verloren gegangen sind oder übersehe ich hier komplett irgend etwas?
Vielen Dank im Voraus.
Stephan
ich habe ein kleines Problem. Unser Root-Cert unserer internen PKI läuft bald ab und ich möchte es verlängern. Laut MS TechNet auch kein Problem, nur den dazugehörigen Eintrag finde ich nicht im Kontextmenü der MMC bei gestoppter CA:
Der Server, auf welchem die PKI läuft, ist ein Windows Server 2012 R2 DataCenter in der Core-Installation als Hyper-V VM. Der Zugriff per MMC erfolgt über einen zweiten Windows Server 2012 R2 DataCenter. Die PKI wurde vor über einem Jahr von einem physischem Windows Server 2008 R2 System rübergezogen. Darauf lief sie über fünf Jahre und das Root-Cert wurde damals bereits einmal verlängert.
Fehlen hierbei irgendwelche Berechtigung (Zugriff als Domain-Admin), die beim Umzug verloren gegangen sind oder übersehe ich hier komplett irgend etwas?
Vielen Dank im Voraus.
Stephan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 363104
Url: https://administrator.de/contentid/363104
Printed on: April 23, 2024 at 08:04 o'clock
12 Comments
Latest comment
Moin,
Gruß,
Dani
Laut MS TechNet auch kein Problem
Der Link würde ich mich interessieren. Mir ist nämlich nicht klar, wie du ein Zertifikat einer RootCA verlängern willst. Denn schließlich stellt sich die CA dieses selbst aus. Eine Verlängerung kann ich mir daher nicht vorstellen. Was ich durch aus denke, dass bestehende Key für ein neues Zertifikat (Renew) genutzt werden kann. Dazu ein bisschen Lesestoff aus dem Microsoft Wiki.Gruß,
Dani
Hallo,
ich glaub du musst die CA einfach starten.. dann auf Alle Aufgaben .. dann sollte der button da sein.. du wirst dann aufgefordert die CA zu beenden, einfach bestätigen dann.
Gruß
Dominik
ich glaub du musst die CA einfach starten.. dann auf Alle Aufgaben .. dann sollte der button da sein.. du wirst dann aufgefordert die CA zu beenden, einfach bestätigen dann.
Gruß
Dominik
Moin,
erstens sieht das für mich so aus, als würde der Dienst gar nicht laufen ("Dienst anhalten" ausgegraut...) und dann bin ich der Meinung, das sich die CA selbst automatisch ein neues Cert ausstellt. Unter Eigenschaften -> Allgemein solltest du alle aktuell gültigen und all abgelaufenen CA-Certs sehen können
lg,
Slainte
erstens sieht das für mich so aus, als würde der Dienst gar nicht laufen ("Dienst anhalten" ausgegraut...) und dann bin ich der Meinung, das sich die CA selbst automatisch ein neues Cert ausstellt. Unter Eigenschaften -> Allgemein solltest du alle aktuell gültigen und all abgelaufenen CA-Certs sehen können
lg,
Slainte
Moin,
laut diesem Technet-Artikel muss die CA gestoppt sein, um überhaupt das Zertifikat erneuern zu können. Der Menüpunkt erscheint auch bei gestarteter CA nicht.
Unter "Eigenschaften" - "Allgemein" ist das aktuell gültige Zertifikat und das bereits abgelaufenen Zertifikat von vor fünf Jahren enthalten.
Kann man das Zertifikat auch über PowerShell oder Commandline erneuern? Ich habe dazu schon gegooglet, aber nicht wirklich etwas brauchbares gefunden.
Gruß,
Stephan
laut diesem Technet-Artikel muss die CA gestoppt sein, um überhaupt das Zertifikat erneuern zu können. Der Menüpunkt erscheint auch bei gestarteter CA nicht.
Unter "Eigenschaften" - "Allgemein" ist das aktuell gültige Zertifikat und das bereits abgelaufenen Zertifikat von vor fünf Jahren enthalten.
Kann man das Zertifikat auch über PowerShell oder Commandline erneuern? Ich habe dazu schon gegooglet, aber nicht wirklich etwas brauchbares gefunden.
Gruß,
Stephan
Moin,
dein Vorgehen ist eigentlich richtig. Hab gerade ein Kollege von PKI auf dem Fluhr getroffen. Bei uns sieht es so aus:
Hast du schon einmal die Ereingisanzeige auf Links gedreht, ob dort evtl. ein Grund sichtbar wird?
Gruß,
Dani
dein Vorgehen ist eigentlich richtig. Hab gerade ein Kollege von PKI auf dem Fluhr getroffen. Bei uns sieht es so aus:
Hast du schon einmal die Ereingisanzeige auf Links gedreht, ob dort evtl. ein Grund sichtbar wird?
Gruß,
Dani
Dem TO Fehlen ja noch mehr Menüpunkte, was für mich eher nach fehlenden Rechten aussieht.
@diemilz
Ruf mal die Eigenschaften der CA auf, und schau auf dem Sicherheits-Tab nach, welcher User/Gruppe das Recht "Manage CA" hat.
@diemilz
Ruf mal die Eigenschaften der CA auf, und schau auf dem Sicherheits-Tab nach, welcher User/Gruppe das Recht "Manage CA" hat.
Ich bin als Domainadmin angemeldet, welcher laut Sicherheit das Recht zur Verwaltung der CA hat. Ich habe mal testweise die Berechtigungen entfernt und dann wieder hinzugefügt, ohne Wirkung.
In den Eventlogs taucht soweit auch nichts auf.
In den Eventlogs taucht soweit auch nichts auf.
Moin,
hast du die Verknüpfung über das Kontextmenü "als Administrator ausführen" gestartet?!
Gruß,
Dani
hast du die Verknüpfung über das Kontextmenü "als Administrator ausführen" gestartet?!
Gruß,
Dani
Japp, aber das hat leider auch keinen Effekt.
Hallo,
Was steht in der Registry unter HKLM\CurrentControlSet\services\CertSvc\Configuration\<CA Name>\RequestFileName für ein Pfad?
Wie lange ist das Zertifikat deiner RootCA noch gültig?
Gruß,
Dani
Kann man das Zertifikat auch über PowerShell oder Commandline erneuern? Ich habe dazu schon gegooglet, aber nicht wirklich etwas brauchbares gefunden.
Es gibt ein Tool certutil für die Kommandozeile.Was steht in der Registry unter HKLM\CurrentControlSet\services\CertSvc\Configuration\<CA Name>\RequestFileName für ein Pfad?
Wie lange ist das Zertifikat deiner RootCA noch gültig?
Gruß,
Dani
Sorry, ich war die letzten Wochen unterwegs, daher komme ich erst jetzt wieder dazu, mich dem Problem zu widmen.
Den Pfad in der Registry gibt es nicht, weder als Schlüssel noch als irgend einen Wert.
Das Zertifikat ist noch gültig bis 23. August 2018.
Den Pfad in der Registry gibt es nicht, weder als Schlüssel noch als irgend einen Wert.
Das Zertifikat ist noch gültig bis 23. August 2018.
Moin,
Ich bin meinen Latein aus der Ferne am Ende. An diesem Punkt hilft aus meiner Sicht a) ein IT-Dienstleister b) Microsoft Support Ticket.
Gruß,
Dani
Den Pfad in der Registry gibt es nicht, weder als Schlüssel noch als irgend einen Wert.
Sehr gut, das sollte bei einer RootCA auch so sein. War ein kleiner Test. Ich bin meinen Latein aus der Ferne am Ende. An diesem Punkt hilft aus meiner Sicht a) ein IT-Dienstleister b) Microsoft Support Ticket.
Gruß,
Dani
