Re: Nicht mehr existente Zertifizierungsstelle

Tech-Archive recommends: Repair Windows Errors & Optimize Windows Performance

Jürgen <Jrgen@xxxxxxxxxxxxxxxxxxxxxxxxx> wrote:

Es gibt einen Win2000 Server DC(Std) der eine AD integrierte
Zertifizierugsstelle hat. (Damit wird OWA usw. betrieben).
Es gab einen Win2k3 DC Server der ebenfalls eine Zertifizierungsstelle
betrieben hat.
Es gibt einen weiteren Win2k3 DC Server, der als Betriebsmaster läuft.
Der Win2k3 Server, der eine Zertifizierungsstelle betrieben hat, wurde
via DCPromo heruntergestuft. Damit wurde auch die Zertifizierungsstelle
deinstalliert.
Nun kommt der "relativ harmlose Fehler" ID13-Autoenrollment, kein Zugrif
auf aktualisierung des Domänencontroller Zertifikates. Was bei Event-ID
geschrieben war habe ich bereits getestet (Rechte Komponentendienste...)
hat aber nichts genützt. Mit PKIView.msc habe ich mir die
Zertifizierungsstelle angesehen, und festgestellt es gibt zwei Stellen,
die eine heist Exchange.Domäne, die andere hat den Firmennamen. Die
letztere hat als CA einen Server, den es schon seit über einem Jahr
nicht mehr gibt. Der heruntergestufte Server hat dieser CA angehört.
Nun hat der noch existente Win2K3 ein Domänencontrollerzertifikat von der
CA, die es nicht mehr gibt. Die 2000 Zertifikatsstelle existiert aber
noch. Ich habe nun versucht, via Cermgr.msc (Computer) das "Eigene
Zertifikat", welches noch als Stelle den nicht mehr existenten Server
hat, durch ein neues von der 2000 Zertifizierungsstelle zu ersetzen, er
gibt mir aber nicht die möglichkeit (grau hinterlegt und in der Auswahl
nur die alte CA) die CA zu wechseln, er will als CA immer den nicht
mehr existenten Server. (Oder kann ich das Domänencontroller Zertifikat
einfach löschen) Ich denke fast, das früher zwei
Stammzertifizierungsstellen in der gleichen Domäne liefen...

Das Zertfikat kannst Du löschen. Schau in allen GPOs zusätzlich unter
Comp-Win-Sec-PKPol, dass dort nirgends das alte Zertifikat weiter verteilt
wird. Wenn Du gerade dabei bist, verteile dort auch das neue Zetifikat und
vor allem den EFS Recovery Agent. Man weiss nie, wann man den braucht.
Überprüfe das alles an den Rechnern mit Hilfe von rsop.msc.

Unabhängig von allem wirst Du aber (ausser mit adsiedit) das alte (und auch
das neue) Zertifikat nicht mehr los, es ist Teil Deines Active Directory.

Am Besten wäre es, Du hättest das alte Zertifikat noch mitsamt private Key,
dann würdest Du die alten Zertifikate revoken und zum Schluss das Root
Zertifikat. Das sollte man immer so machen, abgelaufene Zertifikate
verschwinden nicht einfach, sondern müssen revoked werden und die letzte CRL
veröffentlicht.

Naja, solange man nicht EFS einsetzt, tut es nicht wirklich weh.

Ich würde Dir generell aber Raten, die CA auf einem 2k3 laufen zu lassen, da
hast Du mehr Möglichkeiten und bist gegen den Verlust eines Keys besser
gewappnet.

Gruß, Helmut


.

Relevant Pages

  • Re: Nicht mehr existente Zertifizierungsstelle
    ... Es gab diesen alten Server der eine Stammzertifizierungsstelle war. ... Zertifikat erneuern bringt er ... Es gab einen Win2k3 DC Server der ebenfalls eine Zertifizierungsstelle ...
    (microsoft.public.de.german.windows.server.active_directory)
  • RE: RPC over HTTPS
    ... Zertifizierungsstelle eingebe, ... dann immer nur diese brauen ISA Fehler Seite. ... Server klappt es aber einwandfrei! ... >> Dieses Zertifikat kann nicht bis zur einer Zertifizierunsstelel verifiziert ...
    (microsoft.public.de.german.isaserver)
  • Re: Tomcat + SSL
    ... Zertifikate und die meisten Server verlangen auch keine von ihren ... Zertifikat, welches jedem, der es lesen will, bestätigt, wer der Inhaber ... geheimen Schlüssel der Zertifizierungsstelle, kann also mit dem ... die Webserver-Zertifikate sind nur von der Zwischenstelle ...
    (de.comp.lang.java)
  • =?Utf-8?Q?Re:_ISA_und_Ver=C3=B6ffentlichung_OWA?= =?Utf-8?Q?_Exchange_2007?=
    ... ISA Server konnte keine SSL-Verbindung mit dem ... Zertifizierungsstelle, die das Zertifikat ausgegeben hat, auf dem ISA ... Leider werden jetzt alle Verbidnungen bei Regel testen rot angezeigt. ...
    (microsoft.public.de.german.isaserver)
  • Re: API anstatt keytool/openssl
    ... den Server mit den CA-Schlüsseln hast du eine PKI nachgebaut. ... Mensch möchte Peer im Netzwerk werden, ... im Keystore und das Zertifikat der Root-CA, womit er ein Registrierung seines Clients im Netz vornehmen kann. ...
    (de.comp.lang.java)