Tags: Zertifikate, Active Directory
Eine interne Zertifizierungsstelle muss manchmal aus verschiedenen Gründen ausgemustert werden, zum Beispiel durch die Umstellung auf ein neueres Betriebssystem oder nach Fusionen und Übernahmen. Dabei möchte man normalerweise die alte CA außer Betrieb nehmen, ohne die zuvor ausgestellten Zertifikate zu beeinträchtigen.
Das Stilllegen einer alten Zertifizierungsstelle umfasst in der Regel die folgenden Schritte:
- Identifizieren der Authority Information Access (AIA) und der Verteilungspunkte für die Certificate Revocation List (CRL distribution points, CDP)
- Deaktivieren von Delta CRL und konfigurieren eines verlängerten CRL-Veröffentlichungsintervalls
- Kopieren der Zertifikats- und CRL-Dateien auf den neuen Server, der die CertData hostet
- Umleiten der AIA- und CRL-Verteilungspunkte
- Entfernen aller Zertifikatsvorlagen von der alten CA
- Dokumentieren der Zertifikate, die mittels Vorlagen von der alten Zertifizierungsstelle ausgestellt wurden.
AIA- und CDP-Verteilungspunkte dokumentieren
Zunächst müssen wir die AIA und CDP identifizieren. Öffnen Sie dazu die Konsole der Zertifizierungsstelle (certsrv.msc) und dort in der Baumstruktur das Kontextmenü des CA-Servers. Unter Eigenschaften wechseln Sie zur Registerkarte Erweiterungen. Merken Sie sich die für AIA und CDP konfigurierten Verteilungspunkte. Die Einträge für LDAP und den lokalen Speicherort c:\%windir% können Sie ignorieren.
Wiederholen Sie diesen Vorgang für AIA, indem Sie auf die Erweiterung Authority Information Access umschalten.
Delta CRL deaktivieren und CRL-Intervall verlängern
Öffnen Sie in der Konsole der Zertifizierungsstelle die Eigenschaften des Ordners Gesperrte Zertifikate. Hier wählen Sie das Kontrollkästchen Deltasperrlisten veröffentlichen ab. Anschließend verlängern Sie das Veröffentlichungsintervall für die Zertifikatssperrliste (CRL).
Anschließend starten Sie die Eingabeaufforderung und führen Sie den Befehl
certutil -crl
aus. Mit diesem Befehl wird eine neue Zertifikatssperrliste (CRL) veröffentlicht.
Zertifikats- und CRL-Dateien auf den neuen Server kopieren
CertData ist ein spezielles Verzeichnis, das Benutzern und Computern der Domäne Zugang zu wichtigen Zertifikatsdateien bietet. Dieser Ordner existiert als virtuelles Verzeichnis unter der Default-Website. Der neue Server stellt es unter http://crl.yourdomain.com/CertData bereit.
Die Dateien aus %windir%\System32\CertSrv\CertEnroll müssen in den Ordner CertData unter diesem neuen Server-Verzeichnis kopiert werden.
AIA- und CRL-Verteilungspunkte umleiten
Nun müssen wir die AIA- und CRL-Verteilungspunkte auf den neuen Server umlenken, der jetzt das CertData-Verzeichnis hostet. Das lässt sich wahlweise mittels IIS-Redirects oder eines CNAME im DNS erreichen.
Alle neuen Anfragen für den alten Server landen dann bei der neuen Zertifizierungsstelle.
Alle Zertifikatsvorlagen der alten CA entfernen
Das Löschen der Zertifikatsvorlagen vom alten Server verhindert, dass er weiterhin Zertifikate ausstellt. Um die vorhandenen Templates zu dokumentieren, können Sie diese mit dem Befehl certutil exportieren:
certutil -catemplates c:\catemplates.txt
Nun können wir die Zertifikatsvorlagen auf dem alten Server entfernen.
Zertifikate dokumentieren, die über Vorlagen der alten CA ausgestellt wurden
Identifizieren Sie zunächst die Zertifikate, die über die Standardvorlagen ausgestellt wurden. Microsoft dokumentiert diese hier. Führen Sie dazu die folgenden Schritte aus:
certutil -view -restrict "Certificate Template=<template>" -out "SerialNumber,NotAfter,DistinguishedName,CommonName" > c:\ <template>.txt
Bei benutzerdefinierten Vorlagen müssen Sie die Objektkennung (OID) auslesen. Dazu öffnen Sie die Vorlagenkonsole (certtmpl.msc), dort das Kontextmenü der betreffenden Vorlage und wechseln nach Erweiterungen. Die OID findet sich dann in den Vorlageninformationen.
Kopieren Sie die OID-Nummer und führen diesen Befehl aus:
certutil -view -restrict "Certificate Template=<OIDNumber>" -out "SerialNumber,NotAfter,DistinguishedName,CommonName" > c:\ CustomTemplateType .txt
Sie können sich nun beim neuen Zertifikats-Server anmelden und auf der Grundlage der oben ermittelten Zertifikate die benötigten Templates im Dialog "Zertifikatsvorlagen aktivieren" unter Neu => Auszustellende Zertifikatvorlage freischalten.
Jetzt bleibt nur noch, die Zertifikate durch die neue CA-Infrastruktur neu auszustellen. Diese Aufgabe muss jedoch nicht sofort erledigt werden. Stattdessen können diese auf die neue Infrastruktur migriert werden.
Sobald die neue Infrastruktur alle Zertifikate ausgestellt hat, können Sie Ihren alten Server sichern und außer Betrieb nehmen, indem Sie die Rolle Zertifikatdienste deinstallieren.
Zusammenfassung
Mit den beschriebenen Schritten lässt sich eine alte Zertifizierungsstelle sauber außer Betrieb nehmen und die bestehenden Zertifikate auf den neuen CA-Server migrieren. Dabei müssen Sie herausfinden, welche Zertifikate von der alten Zertifizierungsstelle ausgestellt wurden, um sie auf die neue CA zu übernehmen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft ergänzt zertifikatbasierte Authentifizierung am Azure AD um Support für Smartcards
- Mit Zertifikaten an Azure Active Directory authentifizieren
- Authentifizierung ohne Passwörter mit Windows Hello for Business
- Nicht mehr existierende Zertifizierungsstellen aus dem Active Directory entfernen
- AD-Zertifikatsdienste (AD CS) von SHA-1 auf SHA-2 migrieren: Gründe und Hindernisse
Weitere Links
1 Kommentar
Hallo und danke für diesen Artikel. Wie weit muss/darf denn die neue CA vorbereitet sein, damit die alte CA, wie oben beschrieben, abgestellt werden kann? Ist dieses Vorgehen auch möglich, wenn ich eine neue Unternehmenszertifizierungsstelle mit Stamm- und im zweiten Schritt einer untergeordneten Zertifizierungsstelle erstellen möchte?
Vielen Dank
Fabian