lcer00
Goto Top

Automatische Zertifikatregistrierung bei neuer CA

Hallo zusammen,

ich habe (.... bitte nicht fragen wieso ....) unseren alten 2012 R2 DC auf dem die Stamm-CA lief sauber weginstalliert und dabei auch die CA entfernt. Die übrigen rollen wurden auf einen neuen DC 2012 R2 migriert, eine neue Unternehmens-CA wurde angelegt. Die alten Computerzertifikate hatte ich vorher nicht gesperrt, da ich befürchtete, dass dann unsere Sicherheitsrichtlinien, die eine Zertifikatbasierte Authentifizierung fordern, die Verbund der DCs untereinander verhindern würden. Ich hatte erwartet, dass die automatische Zertifikatregistrierung dann die neuen Computerzertifikate (Zertifikatvorlage Computer) neu verteilt. Das hat erstmal nicht geklappt. Das neue Zertifizierungsstellenzertifikat wurde zwar in der Domäne verteilt, die Clients scheinen aber mit den alten Computerzertifikaten zufrieden zu sein (sind ja auch noch gültig, weil nicht gesperrt). Zwischenzeitlich brach dann doch die Verbindung zu einem DC ab (digital signieren ein - auf beiden Seiten unterschiedliche Zertifikate), so dass ich dann die Richtlinien "Microsoft-Netzwerk (Server): Kommunikation digital signieren" deaktivieren musste - manuell am isolierten DC ... und an den anderen zentral. Für die DCs habe ich dann neue Domäncontrollerzertifikate angefordert, was dann auch klappte. Jetzt habe ich folgendes Problem:

Die Domänen-Computer holen sich kein neues Zertifikat, das sie ja ein altes haben. Das alte ist noch gültig und wird vom Autoenrollment offenbar nicht neu angefordert. Ich habe sicherheitshalber eine neue GPO erstellt, die das Autoenrollment für die Vorlage "Computer" einstellt - das hat auch nichts genützt. Ich könnte jetzt zu jedem PC gehen, ein neues Zertifikat manuell anfordern und das alte dann ersetzen. Lieber würde ich aber am Schreibtisch sitzen bleiben.

Ich hatte schon die Idee, den alten DC als isolierte VM (ohne Netzwerk) wiederherzustellen, alle Zertifikate zu sperren und die Sperrliste manuell an die Verteilungspunkte zu kopieren. Hat jemand eine bessere Idee? Gibt es eine Möglichkeit Zertifikate bestimmter Zertifizierungsstellen per Powershellskript aus dem Zertifikatsspeicher zu entfernen - habe nichts diesbezüglich gefunden ...

Eigentlich sollten man doch seit der Bankenkriese wissen: mit Zertifikaten spielt man nicht .....

Grüße

lcer

Content-Key: 352202

Url: https://administrator.de/contentid/352202

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: emeriks
Lösung emeriks 19.10.2017 um 14:17:27 Uhr
Goto Top
Hi,
Ich hatte schon die Idee, den alten DC als isolierte VM (ohne Netzwerk) wiederherzustellen, alle Zertifikate zu sperren und die Sperrliste manuell an die Verteilungspunkte zu kopieren.
Das scheint mir nicht die dümmste Idee zu sein.
Gibt es eine Möglichkeit Zertifikate bestimmter Zertifizierungsstellen per Powershellskript aus dem Zertifikatsspeicher zu entfernen
Das wäre dann Plan B, welchen ich Dir vorgeschlagen hätte.
Schau mal hier: https://social.technet.microsoft.com/Forums/windows/en-US/3314021d-ad2a- ...
Auf die Schnelle gefunden. Vielleicht ein Denkanstoss in die richtige Richtung

E.
Mitglied: lcer00
lcer00 20.10.2017 um 11:02:46 Uhr
Goto Top
Danke! hat geklappt.

$certs = @( dir cert:\LocalMachine\my | Where-Object { $_.Issuer -eq "CN=alteCA, DC=dom, DC=hier, DC=de" })  
$certstore = New-Object System.Security.Cryptography.X509Certificates.X509Store “My”,”LocalMachine”
$certstore.Open(“ReadWrite”)
foreach ($cert in $certs) 
{
 $certstore.Remove($cert)
}
per GPO als Startskript verteilt. nach einem Neustart war das alte Computerzertifikat gelöscht.
nach einem weiteren Neustart wurde dann ein neues Zertifikat bezogen.

Die Variante Sperrliste habe ich nicht probiert. In den Zertifikaten war nur eine LDAP Sperrlistenverteilungspunkt angegeben. Ich hatte dann keine Idee wie ich die Sperrliste nachträglich in das Active Directory bekomme. Weiss jemand, wie das gegangen wäre?

lcer
Mitglied: emeriks
emeriks 20.10.2017 um 11:07:28 Uhr
Goto Top
Na dann mach das Teil hier zu.
Mitglied: lcer00
lcer00 20.10.2017 um 11:12:22 Uhr
Goto Top
Na dann mach das Teil hier zu.

Die Variante Sperrliste habe ich nicht probiert. In den Zertifikaten war nur eine LDAP Sperrlistenverteilungspunkt angegeben. Ich hatte dann keine Idee wie ich die Sperrliste nachträglich in das Active Directory bekomme. Weiss jemand, wie das gegangen wäre?

ich mach das schon zu. Das letzte Fragezeichen steht da aber noch.... Oder müsste ich da ein neues Thread aufmachen ....
Mitglied: Dani
Dani 20.10.2017 um 21:25:05 Uhr
Goto Top
Moin,
ich mach das schon zu. Das letzte Fragezeichen steht da aber noch.... Oder müsste ich da ein neues Thread aufmachen ....
natürlich nicht.

Die Variante Sperrliste habe ich nicht probiert. In den Zertifikaten war nur eine LDAP Sperrlistenverteilungspunkt angegeben. Ich hatte dann keine Idee wie ich die Sperrliste nachträglich in das Active Directory bekomme. Weiss jemand, wie das gegangen wäre?
Leider kann ich dir keine Lösung nennen. Denn im Normalfall nutzt man für den Abruf der Sperrlisten ausschließlich die Abfrage über HTTP. Denn spätestens wenn die Sperrliste über das Internet erreichbar sein muss, fällt dir LDAP auf die Füße.


Gruß,
Dani