Windows-Zertifizierungsstelle außer Betrieb nehmen


    Tags: ,

    ZertifikateEine interne Zertifizierungs­stelle muss manchmal aus verschiedenen Gründen ausge­mustert werden, zum Beispiel durch die Umstellung auf ein neueres Betriebssystem oder nach Fusionen und Übernahmen. Dabei möchte man normalerweise die alte CA außer Betrieb nehmen, ohne die zuvor ausgestellten Zertifikate zu beeinträchtigen.

    Das Stilllegen einer alten Zertifizierungsstelle umfasst in der Regel die folgenden Schritte:

    • Identifizieren der Authority Information Access (AIA) und der Verteilungspunkte für die Certificate Revocation List (CRL distribution points, CDP)
    • Deaktivieren von Delta CRL und konfigurieren eines ver­längerten CRL-Ver­öffentlichungs­intervalls
    • Kopieren der Zertifikats- und CRL-Dateien auf den neuen Server, der die CertData hostet
    • Umleiten der AIA- und CRL-Verteilungspunkte
    • Entfernen aller Zertifikatsvorlagen von der alten CA
    • Dokumentieren der Zertifikate, die mittels Vorlagen von der alten Zertifizierungsstelle ausgestellt wurden.

    AIA- und CDP-Verteilungspunkte dokumentieren

    Zunächst müssen wir die AIA und CDP identifizieren. Öffnen Sie dazu die Konsole der Zertifizierungs­stelle (certsrv.msc) und dort in der Baumstruktur das Kontextmenü des CA-Servers. Unter Eigenschaften wechseln Sie zur Registerkarte Erweiterungen. Merken Sie sich die für AIA und CDP konfigurierten Verteilungspunkte. Die Einträge für LDAP und den lokalen Speicherort c:\%windir% können Sie ignorieren.

    Distribution Point für die Sperrliste auf dem alten Zertifikat-Server dokumentieren

    Wiederholen Sie diesen Vorgang für AIA, indem Sie auf die Erweiterung Authority Information Access umschalten.

    Authority Information Access (AIA) dokumentieren

    Delta CRL deaktivieren und CRL-Intervall verlängern

    Öffnen Sie in der Konsole der Zertifizierungsstelle die Eigenschaften des Ordners Gesperrte Zertifikate. Hier wählen Sie das Kontrollkästchen Deltasperrlisten veröffentlichen ab. Anschließend verlängern Sie das Veröffentlichungs­intervall für die Zertifikats­sperrliste (CRL).

    Veröffentlichung von Delta-CRLs zurücknehmen das CRL-Veröffentlichungsintervall verlängern

    Anschließend starten Sie die Eingabeaufforderung und führen Sie den Befehl

    certutil -crl

    aus. Mit diesem Befehl wird eine neue Zertifikatssperrliste (CRL) veröffentlicht.

    Zertifikats- und CRL-Dateien auf den neuen Server kopieren

    CertData ist ein spezielles Verzeichnis, das Benutzern und Computern der Domäne Zugang zu wichtigen Zertifikats­dateien bietet. Dieser Ordner existiert als virtuelles Verzeichnis unter der Default-Website. Der neue Server stellt es unter http://crl.yourdomain.com/CertData bereit.

    Die Dateien aus %windir%\System32\CertSrv\CertEnroll müssen in den Ordner CertData unter diesem neuen Server-Verzeichnis kopiert werden.

    CRL- und Zertifikatsdateien von der alten CA auf den neuen Server kopieren

    AIA- und CRL-Verteilungspunkte umleiten

    Nun müssen wir die AIA- und CRL-Verteilungspunkte auf den neuen Server umlenken, der jetzt das CertData-Verzeichnis hostet. Das lässt sich wahlweise mittels IIS-Redirects oder eines CNAME im DNS erreichen.

    Alle neuen Anfragen für den alten Server landen dann bei der neuen Zertifizierungsstelle.

    CertData auf den neuen Server umlenken

    Alle Zertifikatsvorlagen der alten CA entfernen

    Das Löschen der Zertifikatsvorlagen vom alten Server verhindert, dass er weiterhin Zertifikate ausstellt. Um die vorhandenen Templates zu dokumentieren, können Sie diese mit dem Befehl certutil exportieren:

    certutil -catemplates c:\catemplates.txt

    Nun können wir die Zertifikatsvorlagen auf dem alten Server entfernen.

    Vorlagen auf der alten CA löschen

    Zertifikate dokumentieren, die über Vorlagen der alten CA ausgestellt wurden

    Identifizieren Sie zunächst die Zertifikate, die über die Standardvorlagen ausgestellt wurden. Microsoft dokumentiert diese hier. Führen Sie dazu die folgenden Schritte aus:

    certutil -view -restrict "Certificate Template=<template>" -out "SerialNumber,NotAfter,DistinguishedName,CommonName" > c:\ <template>.txt

    Bei benutzerdefinierten Vorlagen müssen Sie die Objektkennung (OID) auslesen. Dazu öffnen Sie die Vorlagenkonsole (certtmpl.msc), dort das Kontextmenü der betreffenden Vorlage und wechseln nach Erweiterungen. Die OID findet sich dann in den Vorlageninformationen.

    OID einer Zertifikatvorlage ermitteln

    Kopieren Sie die OID-Nummer und führen diesen Befehl aus:

    certutil -view -restrict "Certificate Template=<OIDNumber>" -out "SerialNumber,NotAfter,DistinguishedName,CommonName" > c:\ CustomTemplateType .txt

    Sie können sich nun beim neuen Zertifikats-Server anmelden und auf der Grundlage der oben ermittelten Zertifikate die benötigten Templates im Dialog "Zertifikatsvorlagen aktivieren" unter Neu => Auszustellende Zertifikatvorlage freischalten.

     Templates für die Zertifikate auf dem neuen Server ausstellen

    Jetzt bleibt nur noch, die Zertifikate durch die neue CA-Infrastruktur neu auszustellen. Diese Aufgabe muss jedoch nicht sofort erledigt werden. Stattdessen können diese auf die neue Infrastruktur migriert werden.

    Sobald die neue Infrastruktur alle Zertifikate ausgestellt hat, können Sie Ihren alten Server sichern und außer Betrieb nehmen, indem Sie die Rolle Zertifikatdienste deinstallieren.

    Zusammenfassung

    Mit den beschriebenen Schritten lässt sich eine alte Zertifizierungsstelle sauber außer Betrieb nehmen und die bestehenden Zertifikate auf den neuen CA-Server migrieren. Dabei müssen Sie herausfinden, welche Zertifikate von der alten Zertifizierungsstelle ausgestellt wurden, um sie auf die neue CA zu übernehmen.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links

    1 Kommentar

    Hallo und danke für diesen Artikel. Wie weit muss/darf denn die neue CA vorbereitet sein, damit die alte CA, wie oben beschrieben, abgestellt werden kann? Ist dieses Vorgehen auch möglich, wenn ich eine neue Unternehmenszertifizierungsstelle mit Stamm- und im zweiten Schritt einer untergeordneten Zertifizierungsstelle erstellen möchte?

    Vielen Dank
    Fabian