Nieuwe CA. Wat met de oude & impact Exchange?

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Ik heb hier een fysische 2003 server in het Duits geerft als CA die niet alleen meer crasht dan iets anders als hij draait, maar er tevens in slaagt om onduidelijke reden het Exchange-verkeer in de soep te doen draaien. En tegelijkertijd moet ik een Skype for Business-omgeving opzetten die nogal afhankelijk is van certificaten!

Enfin: ik wil die CA weg en een nieuwe opzetten. Een virtuele Server 2008R2 (mja, krijg geen licentie voor 2012) in het Engels. Dat ding moet enkel certificaten leveren aan Exchange en Lync (nou ja, S4B).

PKI is een vak apart, dus ik durf niet zeggen dat ik goed weet waar ik mij aan waag. De stappen om een CA op te zetten an sich zijn eenvoudig, maar kan de oude CA nog in de weg zitten? Ik maak mij vooral zorgen dat onze Exchange (2003) plat gaat.

"How to decommission a CA": een mooi artikel met de stappen om van een CA vanaf te geraken. Dat is gepland als mijn leidraad

Goeie ideeën, raad en ervaring: ik hoor het graag.

Acties:
  • 0 Henk 'm!

  • Meekoh
  • Registratie: April 2005
  • Laatst online: 03-10 11:44
de oude CA kun je waarschijnlijk niet zomaar weggooien. Zeker niet als er nog certificaten in gebruik zijn van die CA. Zolang die nog ergens gebruikt worden moet je de CA in de buurt houden en zorgen dat de CRL's om de zoveel tijd netjes worden bijgewerkt. Anders kunnen applicaties die die certificaten gebruiken het certificaat niet meer vertrouwen, aangezien hij de revocation status niet kan checken.
Of je published een nieuwe CRL met een lifetime die langer is dan het op dat moment in gebruik zijnde certificaat.
Voor meer info zie: How to decommission a Windows enterprise certification authority and remove all related objects

Computer says no


Acties:
  • 0 Henk 'm!

  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 03-10 20:37

ElCondor

Geluk is Onmisbaar

Je kunt ook een CA verhuizen naar nieuwe hardware en een nieuw OS. Daar zijn op Google goeie links van te vinden. Het is een k*t karwei, maar wel te doen. En wel zo handig als je inderdaad nog lopende certificates op die CA hebt. Dat ze bij MS daar nog geen fatsoenlijke migratie procedure voor hebben verzonnen :(

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 20:39

Jazzy

Moderator SSC/PB

Moooooh!

Exchange 2003? Die wordt niet meer door Microsoft ondersteund dus daar moet je sowieso zsm. van af. Helaas is
maar er tevens in slaagt om onduidelijke reden het Exchange-verkeer in de soep te doen draaien.
voor mij net iets te vaag om inhoudelijk te kunnen adviseren. :)

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Jazzy schreef op woensdag 03 juni 2015 @ 16:44:
Exchange 2003? Die wordt niet meer door Microsoft ondersteund dus daar moet je sowieso zsm. van af. Helaas is
[...]
voor mij net iets te vaag om inhoudelijk te kunnen adviseren. :)
Mja, ik ken het fijne er zelf niet van en probeer vooral niet de Exchange-migratie naar 2013 ook nog op mijn bord te krijgen. Volgens restjes bestanden die ik zie moet de CA in een ver verleden een Exchange-server geweest zijn en de huidige server zijn queues lopen vol zodra deze aan staat. Maar goed, Exchange is een ander verhaal en het probleem stelt zich niet als de CA down is (wat hij sowieso 99% van de tijd is).

Intussen is Lync (Skype for Business) ook up and running. ik heb nog voor elkaar gekregen dat de oude CA zichzelf vernieuwde en requests van de Lyc-server aanvaarde. Dat maakt deze migratie minder acuut, maar vroeg of laat moet die er nog steeds uit.

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 20:39

Jazzy

Moderator SSC/PB

Moooooh!

YellowOnline schreef op woensdag 03 juni 2015 @ 16:50:
[...]


Mja, ik ken het fijne er zelf niet van en probeer vooral niet de Exchange-migratie naar 2013 ook nog op mijn bord te krijgen. Volgens restjes bestanden die ik zie moet de CA in een ver verleden een Exchange-server geweest zijn en de huidige server zijn queues lopen vol zodra deze aan staat. Maar goed, Exchange is een ander verhaal en het probleem stelt zich niet als de CA down is (wat hij sowieso 99% van de tijd is).
Focus je op deze issues in plaats van het probleem te maskeren door deze server te willen verwijderen.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • Razwer
  • Registratie: December 2000
  • Laatst online: 28-09 17:01
Jazzy schreef op woensdag 03 juni 2015 @ 17:14:
[...]

Focus je op deze issues in plaats van het probleem te maskeren door deze server te willen verwijderen.
Liever beiden. Server 2003 is nou ook niet om over naar huis te schrijven.

https://technet.microsoft.com/en-us/library/dn486797.aspx

Is guide voor migratie naar 2012 maar principes blijven hetzelfde. Let wel op dat x32 naar x64 meer haken en ogen heeft.
Wanneer de nieuwe server onder dezelfde FQDN in het domein komt kan de oude uitgefaseerd worden. Gebruik je nieuwe naam mag je de oude tot einde der dagen online houden...

[ Voor 15% gewijzigd door Razwer op 05-06-2015 11:10 ]

Newton's 3rd law of motion. Amateur moraalridder.


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 20:39

Jazzy

Moderator SSC/PB

Moooooh!

Razwer schreef op vrijdag 05 juni 2015 @ 11:08:
[...]

Liever beiden. Server 2003 is nou ook niet om over naar huis te schrijven.
Dat klopt natuurlijk. Ik bedoelde vooral de volgorde, zo zou ik eerst willen weten waarom de mailflow misgaat als deze CA opgestart is en de resten hiervan op de goede manier uit de Exchange organisatie verwijderen. Ik vrees namelijk dat de CA anders gemigreerd gaat worden en de server definitief uitgaan onder het mom van 'opgelost'.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • Dennism
  • Registratie: September 1999
  • Laatst online: 20:50
Ik zou zelf trouwens niet zomaar een CA willen migreren, het is veel gedoe, en ook kun je qua certificaten in de toekomst de mist in gaan. Veel oude PKI infrastructuren hebben een Root CA / Issueing CA met veroudere hashing algoritmes die langzaam maar zeker uitgefaseerd gaan worden, niet direct een compleet issue, maar wel iets om rekening mee te houden.

Het is dan vaak aan te raden de oude CA te laten stoppen met het uitgeven van certificaten, een nieuwe PKI omgeving ernaast op te zetten (minimaal offline root en een ADCS Issueing CA) met de Root en Issueing CA certifcaten minimaal op basis van SHA-256 Hashing Algoritmes en 4096 bit Public key's (of zelfs nog strenger mits alle software in je omgeving er support voor heef). Nadat de oude uitgegeven certificaten dan allemaal verlopen of niet in gebruik meer zijn de oude PKI omgeving netjes opruimen.
Gebruik je nieuwe naam mag je de oude tot einde der dagen online houden...
Dit is natuurlijk niet nodig, wanneer alle nog in gebruik zijnde certificaten verlopen zijn (of vernieuwd door de nieuwe PKI omgeving) kan de oude omgeving gewoon uitgefaseerd worden. bij default templates is dit maximaal 1 tot 2 jaar. Mocht je zolang niet kunnen wachten dan kan je ook een CRL met de geldigheidsduur van het oude root CA publiceren voordat je deze uitgefaseerd. Dit heeft wel als nadeel dat je geen door die CA uitgegeven certificaten meer kan revoken.

[ Voor 24% gewijzigd door Dennism op 05-06-2015 13:14 ]


Acties:
  • 0 Henk 'm!

  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Mijn grootste problemen met die CA zijn
1) Win2003... want ik moet de hele omgeving naar 2008R2 trekken
2) In het Duits... want ik moet alles in het Engels krijgen
3) Impact Exchange

Maar er is nog iets. Ik ken het fijne van CAs nog niet, maar ik heb er mee moeten spelen om mijn Skype for Business aan de praat te krijgen. De CA zijn eigen certificaat was verlopen en ik heb een nieuw gegenereerd. Volgens wat ik begrijp zou er een mechanisme moeten zijn dat op basis van AD het nieuwe certificaat rondstuurt, maar op de servers en clients die ik tot nu toe met Lync testte heb ik manueel het nieuwe certificaat moeten invoeren.

De oude (offline) laten bestaan tot nader order is overigens geen probleem. het aantal producten dat 'm benodigd is wel héél beperkt: 2 Lync 2015 servers en 4 Exchange 2003 servers.

[ Voor 6% gewijzigd door YellowOnline op 05-06-2015 13:16 ]


Acties:
  • 0 Henk 'm!

  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 03-10 20:37

ElCondor

Geluk is Onmisbaar

Bij uitgave van een nieuw certificaat kun je twee dingen doen:
Als je clients geconfigureerd zijn met auto-enroll (via een GPO), dan zouden ze een nieuw certificaat moeten downloaden als ze aanloggen. Kan zijn dat je daarvoor de oude client certificaten ongeldig moet verklaren.

Een andere manier zou zijn om het nieuwe root certificaat in een GPO te distribueren. Ik dacht dat dit ook een nieuwe enroll zou moeten triggeren.

Overigens, het is juist aan te raden om een CA root server helemaal buiten het netwerk te houden en liefst off-line in een kluis te bewaren, aldus Microsoft.

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)


Acties:
  • 0 Henk 'm!

  • Meekoh
  • Registratie: April 2005
  • Laatst online: 03-10 11:44
Je moet wel het nieuwe Root cert van je CA publishen naar AD. Dat gaat niet vanzelf:
certutil -dspublish -f <certfilename> RootCA

Computer says no


Acties:
  • 0 Henk 'm!

  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 03-10 20:37

ElCondor

Geluk is Onmisbaar

Ohw ja! Whoeps. Dat zijn van die dingen die je dan één keer doet en je dan niet meer herinnert...

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)


Acties:
  • 0 Henk 'm!

  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Meekoh schreef op vrijdag 05 juni 2015 @ 13:50:
Je moet wel het nieuwe Root cert van je CA publishen naar AD. Dat gaat niet vanzelf:
certutil -dspublish -f <certfilename> RootCA
Dat had ik zowaar gedaan, maar...
ElCondor schreef op vrijdag 05 juni 2015 @ 13:47:
Bij uitgave van een nieuw certificaat kun je twee dingen doen:
Als je clients geconfigureerd zijn met auto-enroll (via een GPO), dan zouden ze een nieuw certificaat moeten downloaden als ze aanloggen. Kan zijn dat je daarvoor de oude client certificaten ongeldig moet verklaren.

Een andere manier zou zijn om het nieuwe root certificaat in een GPO te distribueren. Ik dacht dat dit ook een nieuwe enroll zou moeten triggeren.

Overigens, het is juist aan te raden om een CA root server helemaal buiten het netwerk te houden en liefst off-line in een kluis te bewaren, aldus Microsoft.
... moet ik dan alsnog een GPO update doen?

--------

Wat het niet gemakkelijker maakt is dat de baas paranoide is. Ik ben domain admin op alle klantensites, maar hij alleen is domain admin op ons intern netwerk. Veel plezier om met certificaten, Lync en Exchange te prutsen zonder elevated rights :F

Op een onbewaakt moment heb ik de chef laten inloggen in een command prompt als domain admin en stiekem gebruik ik die om alles aan te sturen :+

Acties:
  • 0 Henk 'm!

  • Meekoh
  • Registratie: April 2005
  • Laatst online: 03-10 11:44
YellowOnline schreef op vrijdag 05 juni 2015 @ 14:37:
[...]


Dat had ik zowaar gedaan, maar...


[...]


... moet ik dan alsnog een GPO update doen?

--------

Wat het niet gemakkelijker maakt is dat de baas paranoide is. Ik ben domain admin op alle klantensites, maar hij alleen is domain admin op ons intern netwerk. Veel plezier om met certificaten, Lync en Exchange te prutsen zonder elevated rights :F

Op een onbewaakt moment heb ik de chef laten inloggen in een command prompt als domain admin en stiekem gebruik ik die om alles aan te sturen :+
Tijd voor mijn favoriete antwoord: It Depends...
Kijk als je de root's ook via GPO verspreid moet je die ook aanpassen.
Ik denk dat het voor jou nu vooral broodkruimeltjes volgen is om erachter te komen waar die dingen hun certificaten vandaan halen en hoe ze de CRL enzo checken.

Computer says no


Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 20:39

Jazzy

Moderator SSC/PB

Moooooh!

YellowOnline schreef op vrijdag 05 juni 2015 @ 13:15:
Maar er is nog iets. Ik ken het fijne van CAs nog niet, maar ik heb er mee moeten spelen om mijn Skype for Business aan de praat te krijgen.
Waarom gebruik je self-signed certificaten voor Skype for Business als je weet dat je PKI op omvallen staat? Corrigeer dat anders eerst, dan heb je weer een afhankelijkheid weggenomen.

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Jazzy schreef op vrijdag 05 juni 2015 @ 15:39:
[...]

Waarom gebruik je self-signed certificaten voor Skype for Business als je weet dat je PKI op omvallen staat? Corrigeer dat anders eerst, dan heb je weer een afhankelijkheid weggenomen.
Welk alternatief heb ik intern dan? :+ Ik ben het akkoord met de kritiek dat dit allesbehalve best practice is, maar vergeet niet dat ik niet veel te zeggen heb hé.

Acties:
  • 0 Henk 'm!

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 20:39

Jazzy

Moderator SSC/PB

Moooooh!

Een trusted certificaat natuurlijk. :)

Exchange en Office 365 specialist. Mijn blog.


Acties:
  • 0 Henk 'm!

  • Dennism
  • Registratie: September 1999
  • Laatst online: 20:50
Als alleen de server een certificaat nodig heeft is dat natuurlijk een optie voor de paar tientjes die het kost. Als je de infrastructuur zo hebt ingericht dat de clients ook op basis van een certificaat authenticaten dan wordt dat natuurlijk wel een dure grap.
Pagina: 1