takvorian
Goto Top

Zertifikat am DC erneuern funktioniert nicht

Hallo zusammen,

ein einem Windows 2012R2 Domaincontroller ( es existiert nur dieser eine ) ist das Zertifikat seit April abgelaufen.
zertifikat3
inkedzertifikat_li
Bei dem Versuch von mir dies zu erneuern erhalte ich einen Fehler den ich Euch gerne bitten würde anzuschauen.
zertifikat2

Was kann ich tun um das Zertifikat zu erneuern?

Danke für Tipps..

Gruß Michael

Content-Key: 346847

Url: https://administrator.de/contentid/346847

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 21.08.2017 aktualisiert um 15:08:05 Uhr
Goto Top
Ich würde sagen, Deine CA ist Geschichte.
Wie ist denn Deine PKI aufgebaut?

Offline-Tier?

Denn aus Deinen Screenshots ist nicht ersichtlich, ob selbstsigniert oder wirklich ne CA dahinter.
Mitglied: nepixl
nepixl 21.08.2017 aktualisiert um 15:06:42 Uhr
Goto Top
Hallo,

ohne weiter nachgedacht zu haben, folgere ich aus dem Fehler, dass die Zertifizierungsstelle nicht als Rolle installiert ist:

Tipp: Klick

Gruß
Mitglied: takvorian
takvorian 21.08.2017 um 15:22:39 Uhr
Goto Top
Hallo HeMan face-smile

das ist definitiv ein selbstsigiertes Zertifikat. Es steckt keine CA dahinter.
Das ganze Netzwerk ist aus einem alten SBS2011 hervorgegangen, dessen Exchange deinstalliert wurde und dieser dann demotet wurde.

@pixl86

korrekt die AD Zertifikatsdienste sind nicht installiert. Habe eben an einem komplett anderen Server geschaut, da ist die Rolle auch nicht installiert. Jedoch gehe ich davon aus dass dies ein Überbleibsel aus dem SBS Netzwerk ist und ich diese jetzt tunlichst nachinstallieren sollte, wobei mir dein Tipp dabei behilflich ist.

Gruß
Mitglied: nepixl
nepixl 21.08.2017 um 15:27:44 Uhr
Goto Top
Hallo takvorian,

falls damit deine Probleme behoben wurden, gerne den Beitrag auf gelöst setzen. -Danke! face-smile

Viel Erfolg!
Mitglied: takvorian
takvorian 21.08.2017 um 15:35:50 Uhr
Goto Top
Hallo,

hab jetzt mal die Zertiefizerungsstelle ausgemacht... tatsählich ein alter SBS2011 Server..
zertifizierungsstelle
Also muss ich die Zertifizierungsdienste zwingend installieren?

Gruß Michael
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 21.08.2017 aktualisiert um 15:43:28 Uhr
Goto Top
Zitat von @takvorian:

Hallo HeMan face-smile

das ist definitiv ein selbstsigiertes Zertifikat. Es steckt keine CA dahinter.
Das ganze Netzwerk ist aus einem alten SBS2011 hervorgegangen, dessen Exchange deinstalliert wurde und dieser dann demotet wurde.

Ja, ist ne Erklärung.


@pixl86

korrekt die AD Zertifikatsdienste sind nicht installiert. Habe eben an einem komplett anderen Server geschaut, da ist die Rolle auch nicht installiert. Jedoch gehe ich davon aus dass dies ein Überbleibsel aus dem SBS Netzwerk ist und ich diese jetzt tunlichst nachinstallieren sollte, wobei mir dein Tipp dabei behilflich ist.

Ui!
Bitte gehe hier behutsam zu Werke. Sei Dir bewußt, was es bedeutet, eine CA bzw. PKI aufzubauen und zu betreiben. Ich selbst fahre meine Server allesamt ohne CA und somit selbstsigniert. Die erneuern ihre Zerts so wie es gebraucht wird und die Nutzer sind an das Prozedere gewöhnt.

Der Sicherheitsaspekt einer CA (kompromittierbar) ist nicht zu verachten.

https://support.microsoft.com/en-us/help/555151


Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.
Mitglied: takvorian
takvorian 21.08.2017 um 16:02:56 Uhr
Goto Top
Hallo HeMan,

danke für Deinen Ratschlag

Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.

Magst du mir kurz umschreiben wie genau ich das zu "bereinigen" habe? Überall die alten CA's raus. Es ist absolut nicht notwendig eine Zertifizierungsstelle einzurichten. Selbstsignierte reichen mir bisher bei allen Kunden aus...

Danke
Mitglied: tomolpi
tomolpi 21.08.2017 um 16:10:03 Uhr
Goto Top
Zitat von @takvorian:

Hallo HeMan,

danke für Deinen Ratschlag

Ich würde zuerst bereinigen und eine solide Ausgangssituation herstellen.
Wenn alle Überbleibsel der alten CA raus sind stellen die Server sich selbst wieder normale selfsigned Certs aus.

Magst du mir kurz umschreiben wie genau ich das zu "bereinigen" habe? Überall die alten CA's raus. Es ist absolut nicht notwendig eine Zertifizierungsstelle einzurichten. Selbstsignierte reichen mir bisher bei allen Kunden aus...

Mir hat damals das hier geholfen: http://nolabnoparty.com/en/remove-ca-active-directory/

Hat prima geklappt und die neue CA läuft bis heute problemlos.

LG,

tomolpi
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 22.08.2017 um 09:52:42 Uhr
Goto Top
Schau mal, ob Du diesem Blog folgenden kannst.

https://mssec.wordpress.com/2013/03/19/manually-remove-old-ca-references ...

Deine CA ist ja schon weg. Der Server existiert ja nicht mehr, oder doch?

Erst mal also nur schauen.
Löschen kann man immer noch...
Mitglied: takvorian
takvorian 22.08.2017 aktualisiert um 11:19:26 Uhr
Goto Top
Hallo HeMan,

der alte Server ist definitv weg. Da gibts nix mehr zu machen...
sites_services

Ich schau mir das mal an...
Da steht sogargenau das Verhalten drin, alter SBS entfernt ohne die CA rolle zuvor zu deinstallieren.
Ich werde jetzt erstmal ein backup vom DC erstellen und dann deinem Tipp @heman ( ist schneller zu schreiben als beidermachtvon.... ) folgen.

Wenn ich das bereinigt habe checkt das der Server und stellt sich selbstsignierte neue Zertifikate aus?

Gruß Michael
Mitglied: beidermachtvongreyscull
Lösung beidermachtvongreyscull 22.08.2017 um 12:55:48 Uhr
Goto Top
Zitat von @takvorian:

Ich werde jetzt erstmal ein backup vom DC erstellen und dann deinem Tipp @heman ( ist schneller zu schreiben als beidermachtvon.... ) folgen.
Kein Problem. Alles gut. face-smile

Wenn ich das bereinigt habe checkt das der Server und stellt sich selbstsignierte neue Zertifikate aus?
Ja. Sollte er. Aber auch immer schön das Windows Ereignislog im Auge behalten.

Gruß Michael
Mitglied: takvorian
takvorian 22.08.2017 um 13:53:52 Uhr
Goto Top
Hallo,

habe jetzt die Hinweise von HeMan sowie tomolpi abgearbeitet und den DC neu gestartet. Wie lange dauert es bis hier nuee Zertifikate ausgestellt werden, bzw. woran kann ich dies erkennen. in der Konsole (mmc) steht noch immer das alte Zertifikat drin. Die Einträge bei AD Sites an Services sind sauber.

Gruß Michael
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 22.08.2017 um 15:50:41 Uhr
Goto Top
Noch eine Frage.
Wofür ist denn das alte Zertifikat eigentlich?
Mitglied: takvorian
takvorian 23.08.2017 um 08:20:09 Uhr
Goto Top
Guten Morgen,

das alte Zertifikat war wohl das welches der SBS ursprünglich immer ausgestellt hat. In den Details steht nru dass es für Client- und Serverautentifizierung ist. Mehr ist mir da leider nicht bekannt.

Gruß Michael
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 23.08.2017 um 09:51:30 Uhr
Goto Top
Schmeiß es raus.
Nur weil es ungültig hindert es den Rechner nicht daran, es zu verwenden.

Gruß,
Andreas
Mitglied: FishersFritz
FishersFritz 23.08.2017 um 13:13:03 Uhr
Goto Top
Hallo,

solange sonst alles funktioniert, würde ich die Variante "Ignorieren" empfehlen.

Ich bin selbst direkt an einem funktionierenden SBS über ein abgelaufenes Zertifikat "gestolpert". Ich habe versucht, dies über alle mir bekannten Wege (Windows Zertifikatsverwaltung etc.) direkt am SBS zu aktualisieren, was aber immer scheiterte. Die einfache Lösung war, dass der SBS speziell zur Zertifikatsverwaltung bzw. -aktualisierung im Servermanager einen Menüpunkt für die Aktualisierung seiner Zertifikate mitbringt. Nachdem Dir diese nun fehlt, besteht m.E. keine Chance, auf der ursprünglichen SBS-CA irgendwas aufzubauen.