Ich habe eine Active Directory-Domäne geerbt, in der Zertifikatdienste installiert und nicht sinnvoll genutzt und nicht dokumentiert wurden. Ich möchte die Infrastruktur erneuern und die Dienste tatsächlich für viele sicherheitsrelevante Anwendungen verwenden, bin mir aber nicht sicher, was mich erwartet oder wo ich anfangen soll. Im Grunde frage ich mich, ob jemand anderes ein ähnliches Problem hatte und welches Verfahren verwendet wurde. Letztendlich würde ich gerne von vorne beginnen und alles richtig machen, aber ich habe nicht herausgefunden, ob dies möglich ist oder ob es Anwendungen gibt, die möglicherweise nicht mehr funktionieren. Soweit ich bisher herausgefunden habe, wurde der Dienst hauptsächlich verwendet, um Entwicklungsseiten mit Zertifikaten zu versorgen. Benutzer erhalten Zertifikate, aber ich habe noch nie einen Fall erlebt, in dem sie verwendet wurden. Jede Information/Hilfe ist sehr willkommen.
Danke.
Antwort1
Ich habe eine Enterprise-CA aus einer AD-Domäne (Windows 2003) entfernt, die ich „geerbt“ hatte, und mit einer neuen Enterprise-CA begonnen, ohne negative Auswirkungen. Ich habe die Anweisungen in diesem Artikel befolgt.http://support.microsoft.com/kb/889250und dann mit einer neuen Bereitstellung begonnen.
Alles in allem lief es meiner Meinung nach sehr reibungslos.
(Mein Kunde war wahrscheinlich ähnlich wie Ihrer. Er hatte es installiert, für nichts verwendet und war dann kurz davor, die Maschine, auf der die CA-Root des Unternehmens lief, zu zerstören. Ich brauchte Zertifikate für die WPA2-RADIUS-Authentifizierung und landete direkt in einem Rattennest voller Müll.)
Antwort2
Wenn Sie 100 % sicher sind, dass die Zertifikate nicht verwendet werden, können Sie KB 889250 und die Außerbetriebnahme befolgen. Sie müssen jedoch zuerst sicherstellen, dass sie nicht verwendet werden, denn im schlimmsten Fall ist superimportantapp auf halbem Weg kaputt und Sie müssen die gerade kaputtgegangene PKI reparieren, um sie wieder zum Laufen zu bringen. Sobald Sie certutil -delkey CertificateAuthorityName ausführen, wird es gelinde gesagt interessant, die Zertifikate wieder zum Laufen zu bringen. Lassen Sie sich vor allem Zeit.