Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Windows 2016 ADCS - Nieuwe PKI naast bestaande?

Pagina: 1
Acties:

donderdag 11 mei 2017 16:57

Acties:
  • Techno Overlord
  • Registratie: Januari 2003
  • Laatst online: 16:49

Techno Overlord

Nocturnal Metamorphoses™

Topicstarter
Op een locatie staat een PKI met één (offline) Root CA en twee Issuing CA's. Deze draaien op Windows Server 2008 R2. Deze worden uitgefaseerd dus er komen nieuwe Windows Server 2016 Standard servers voor in de plaats.

Mijn plan is om een nieuwe PKI te bouwen naast de bestaande. De certificaten worden geleverd aan WiFi telefoons en laptops. Ik moet absoluut voorkomen dat de huidige PKI eruit klapt en er niet meer getelefoneerd kan worden. Ik wil ook geen upgrade uitvoeren maar een migratie.

Als eerste wil ik de oude CA laten stoppen met uitgeven van certificaten. Vervolgens zet ik de nieuwe PKI op naast de bestaande. De RootCA blijft offline naast twee online Issuing CA's. De certificaten hebben als basis een SHA-256 algoritme en een 4096bits public key. Vervolgens als alle oude certificaten verlopen of niet meer in gebruik zijn, wil ik pas de oude PKI uitschakelen.

Ik heb dit nog nooit eerder gedaan. Bovenstaande idee komt naar grondig inlezen van beschikbare online documentatie. Graag hoor ik of ik op de goede weg zit, of dat er tips of links naar best practices zijn die ik eventueel over het hoofd gezien heb. Ik wil niet falen. :)

Forever raver!
Specs: Workstation Server

donderdag 11 mei 2017 17:12

Acties:
  • Oogje
  • Registratie: Oktober 2003
  • Niet online

Oogje

Er zijn meerdere manieren bijvoorbeelde dezelfde RootCA blijven gebruiken maar nieuwe Issuing, of alles nieuw. Ik heb gekozen voor de laatste variant. Nieuwe RootCA, nieuwe IssuingCA etc. Nieuwe certificaten ga ik uitgeven vanaf de nieuwe en de bestaande templates in de oude gaan we rustig 1 voor 1 migreren naar de nieuwe CA als we tijd/zin hebben.

Beste tip die ik kan geven: kopieer de boel naar een testomgeving en ga daar lekker rommelen. Dan is de kans op falen in productie al een stuk kleiner.
Deze is wel leuk om eens door te nemen, oud maar nog best wel relevant: https://blogs.technet.mic...icrosoft-recommended-pki/

Any errors in spelling, tact, or fact are transmission errors.

donderdag 11 mei 2017 17:15

Acties:
  • Meekoh
  • Registratie: April 2005
  • Laatst online: 17-11 22:19

Meekoh

Lees dit: https://technet.microsoft...ry/ee126170(v=ws.10).aspx
Prima migration guide en ook van toepassing op jou situatie.
CA's wil je sowieso nooit upgraden qua OS. Altijd nieuwe ernaast bouwen, migreren en oude langzaam laten afsterven.

En wat Oogje zegt: Probeer het gewoon met een paar VM's uit in een lab omgeving ;)

Kun je ook gelijk naar SHA 2 upgraden als je dat nog niet hebt gedaan.

Computer says no

maandag 15 mei 2017 13:32

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 28-11 16:59

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Meekoh schreef op donderdag 11 mei 2017 @ 17:15:
Lees dit: https://technet.microsoft...ry/ee126170(v=ws.10).aspx
Prima migration guide en ook van toepassing op jou situatie.
Ik heb bovenstaande guide ook wel eens gebruikt om een CA te migreren. De oude kon na het doorlopen van de procedure en goed testen gewoon uitgezet worden.

Ik zou bovenstaande procedure gewoon testen in een lab (met backups van je huidige PKI systemen).

Waarom moet de PKI overigens beschikbaar blijven tijdens de upgrade? Als je daarnaast meerdere issuing servers hebt, die ook beschikken over een CRL, dan kun je toch gefasseerd migreren?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq