Zertifizierungsstelle umziehen

06/05/2009 - 09:49 von jens m. guessregen | Report spam
Hallo,

ich habe da ein kleines Problem.
Einer unserer DC's soll in Rente gehen. Auf neuer Hardware ist bereits ein
neuer DC aufgesetzt und derzeit ziehen die Daten und Dienste Stück für Stück
um.
Aber dummerweise làuft auch die interne Zertifizierungstelle auf dem "alten"
DC.

Auch die soll umziehen. Aber wie? Ich habe bisher nur Informationen zur
Wiederherstellung in Desaster-Scenario's gefunden, aber nichts, wie man ganz
regulàr umzieht.
Geht das überhaupt? Oder muss die Zertifizierungstelle ganz neu aufgesetzt
werden, was ja eine Neu-Erstellung aller bisher erstellter Zertifikate zur
Folge hàtte.

Zudem habe ich mir überlegt, den Zertifizierungsdienst bei dieser
Gelegenheit in einen virtuellen Server auszulagern, was eventuelle
zukünftige Verànderungen vereinfachen sollte.
Ist das praktikabel?

Gruss Jens

(W2K3 SP2 und W2K3 R2 x64 SP2)
 

Lesen sie die antworten

#1 Helmut Schneider
06/05/2009 - 16:11 | Warnen spam
jens m. guessregen wrote:
ich habe da ein kleines Problem.
Einer unserer DC's soll in Rente gehen. Auf neuer Hardware ist bereits
ein neuer DC aufgesetzt und derzeit ziehen die Daten und Dienste Stück
für Stück um.
Aber dummerweise làuft auch die interne Zertifizierungstelle auf dem
"alten" DC.

Auch die soll umziehen. Aber wie? Ich habe bisher nur Informationen zur
Wiederherstellung in Desaster-Scenario's gefunden, aber nichts, wie man
ganz regulàr umzieht.
Geht das überhaupt? Oder muss die Zertifizierungstelle ganz neu
aufgesetzt werden, was ja eine Neu-Erstellung aller bisher erstellter
Zertifikate zur Folge hàtte.



Sobald sich der Name der CA àndert -> neu installieren. Alle ausgegebenen
Zertifikate haben den alten Namen im Zertifikat stehen und sind ohne alte CA
wertlos. Du kannst aber das alte Root Zertifikat wieder verwenden, einfach
kein neues erstellen, sondern das alte samt private Key ex- und dann am
neuen Server wieder importieren. Evtl. kann Du die Zertifikatsdatenback auch
restoren, bin ich mir aber wegen des Namenswechsels nicht sicher.

Wichtig natürlich: Vorher Backup aller Recovery Agents! Und nach der
Deinstallation der alten CA allen DCs Zeit geben, die Änderungen zu
replizieren.

Zudem habe ich mir überlegt, den Zertifizierungsdienst bei dieser
Gelegenheit in einen virtuellen Server auszulagern, was eventuelle
zukünftige Verànderungen vereinfachen sollte.
Ist das praktikabel?



Kann man machen, ich sehe spontan keine Nachteile.

Gruß, Helmut

No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn

Ähnliche fragen