Nieuwe CA. Wat met de oude & impact Exchange?

de oude CA kun je waarschijnlijk niet zomaar weggooien. Zeker niet als er nog certificaten in gebruik zijn van die CA. Zolang die nog ergens gebruikt worden moet je de CA in de buurt houden en zorgen dat de CRL's om de zoveel tijd netjes worden bijgewerkt. Anders kunnen applicaties die die certificaten gebruiken het certificaat niet meer vertrouwen, aangezien hij de revocation status niet kan checken.
Of je published een nieuwe CRL met een lifetime die langer is dan het op dat moment in gebruik zijnde certificaat.
Voor meer info zie: How to decommission a Windows enterprise certification authority and remove all related objects

Je kunt ook een CA verhuizen naar nieuwe hardware en een nieuw OS. Daar zijn op Google goeie links van te vinden. Het is een k*t karwei, maar wel te doen. En wel zo handig als je inderdaad nog lopende certificates op die CA hebt. Dat ze bij MS daar nog geen fatsoenlijke migratie procedure voor hebben verzonnen

Exchange 2003? Die wordt niet meer door Microsoft ondersteund dus daar moet je sowieso zsm. van af. Helaas is

maar er tevens in slaagt om onduidelijke reden het Exchange-verkeer in de soep te doen draaien.

voor mij net iets te vaag om inhoudelijk te kunnen adviseren.

YellowOnline schreef op woensdag 03 juni 2015 @ 16:50:
[...]


Mja, ik ken het fijne er zelf niet van en probeer vooral niet de Exchange-migratie naar 2013 ook nog op mijn bord te krijgen. Volgens restjes bestanden die ik zie moet de CA in een ver verleden een Exchange-server geweest zijn en de huidige server zijn queues lopen vol zodra deze aan staat. Maar goed, Exchange is een ander verhaal en het probleem stelt zich niet als de CA down is (wat hij sowieso 99% van de tijd is).

Focus je op deze issues in plaats van het probleem te maskeren door deze server te willen verwijderen.

Jazzy schreef op woensdag 03 juni 2015 @ 17:14:
[...]

Focus je op deze issues in plaats van het probleem te maskeren door deze server te willen verwijderen.

Liever beiden. Server 2003 is nou ook niet om over naar huis te schrijven.

https://technet.microsoft.com/en-us/library/dn486797.aspx

Is guide voor migratie naar 2012 maar principes blijven hetzelfde. Let wel op dat x32 naar x64 meer haken en ogen heeft.
Wanneer de nieuwe server onder dezelfde FQDN in het domein komt kan de oude uitgefaseerd worden. Gebruik je nieuwe naam mag je de oude tot einde der dagen online houden...

[ Voor 15% gewijzigd door Razwer op 05-06-2015 11:10 ]

Razwer schreef op vrijdag 05 juni 2015 @ 11:08:
[...]

Liever beiden. Server 2003 is nou ook niet om over naar huis te schrijven.

Dat klopt natuurlijk. Ik bedoelde vooral de volgorde, zo zou ik eerst willen weten waarom de mailflow misgaat als deze CA opgestart is en de resten hiervan op de goede manier uit de Exchange organisatie verwijderen. Ik vrees namelijk dat de CA anders gemigreerd gaat worden en de server definitief uitgaan onder het mom van 'opgelost'.

Ik zou zelf trouwens niet zomaar een CA willen migreren, het is veel gedoe, en ook kun je qua certificaten in de toekomst de mist in gaan. Veel oude PKI infrastructuren hebben een Root CA / Issueing CA met veroudere hashing algoritmes die langzaam maar zeker uitgefaseerd gaan worden, niet direct een compleet issue, maar wel iets om rekening mee te houden.

Het is dan vaak aan te raden de oude CA te laten stoppen met het uitgeven van certificaten, een nieuwe PKI omgeving ernaast op te zetten (minimaal offline root en een ADCS Issueing CA) met de Root en Issueing CA certifcaten minimaal op basis van SHA-256 Hashing Algoritmes en 4096 bit Public key's (of zelfs nog strenger mits alle software in je omgeving er support voor heef). Nadat de oude uitgegeven certificaten dan allemaal verlopen of niet in gebruik meer zijn de oude PKI omgeving netjes opruimen.

Gebruik je nieuwe naam mag je de oude tot einde der dagen online houden...

Dit is natuurlijk niet nodig, wanneer alle nog in gebruik zijnde certificaten verlopen zijn (of vernieuwd door de nieuwe PKI omgeving) kan de oude omgeving gewoon uitgefaseerd worden. bij default templates is dit maximaal 1 tot 2 jaar. Mocht je zolang niet kunnen wachten dan kan je ook een CRL met de geldigheidsduur van het oude root CA publiceren voordat je deze uitgefaseerd. Dit heeft wel als nadeel dat je geen door die CA uitgegeven certificaten meer kan revoken.

[ Voor 24% gewijzigd door Dennism op 05-06-2015 13:14 ]

Bij uitgave van een nieuw certificaat kun je twee dingen doen:
Als je clients geconfigureerd zijn met auto-enroll (via een GPO), dan zouden ze een nieuw certificaat moeten downloaden als ze aanloggen. Kan zijn dat je daarvoor de oude client certificaten ongeldig moet verklaren.

Een andere manier zou zijn om het nieuwe root certificaat in een GPO te distribueren. Ik dacht dat dit ook een nieuwe enroll zou moeten triggeren.

Overigens, het is juist aan te raden om een CA root server helemaal buiten het netwerk te houden en liefst off-line in een kluis te bewaren, aldus Microsoft.

Je moet wel het nieuwe Root cert van je CA publishen naar AD. Dat gaat niet vanzelf:
certutil -dspublish -f <certfilename> RootCA

Ohw ja! Whoeps. Dat zijn van die dingen die je dan één keer doet en je dan niet meer herinnert...

YellowOnline schreef op vrijdag 05 juni 2015 @ 14:37:
[...]


Dat had ik zowaar gedaan, maar...


[...]


... moet ik dan alsnog een GPO update doen?

--------

Wat het niet gemakkelijker maakt is dat de baas paranoide is. Ik ben domain admin op alle klantensites, maar hij alleen is domain admin op ons intern netwerk. Veel plezier om met certificaten, Lync en Exchange te prutsen zonder elevated rights

Op een onbewaakt moment heb ik de chef laten inloggen in een command prompt als domain admin en stiekem gebruik ik die om alles aan te sturen

Tijd voor mijn favoriete antwoord: It Depends...
Kijk als je de root's ook via GPO verspreid moet je die ook aanpassen.
Ik denk dat het voor jou nu vooral broodkruimeltjes volgen is om erachter te komen waar die dingen hun certificaten vandaan halen en hoe ze de CRL enzo checken.

YellowOnline schreef op vrijdag 05 juni 2015 @ 13:15:
Maar er is nog iets. Ik ken het fijne van CAs nog niet, maar ik heb er mee moeten spelen om mijn Skype for Business aan de praat te krijgen.

Waarom gebruik je self-signed certificaten voor Skype for Business als je weet dat je PKI op omvallen staat? Corrigeer dat anders eerst, dan heb je weer een afhankelijkheid weggenomen.

Een trusted certificaat natuurlijk.

Als alleen de server een certificaat nodig heeft is dat natuurlijk een optie voor de paar tientjes die het kost. Als je de infrastructuur zo hebt ingericht dat de clients ook op basis van een certificaat authenticaten dan wordt dat natuurlijk wel een dure grap.