Certificate van SHA1 naar SHA256 omzetten

dinsdag 25 juni 2024 21:49

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag
Heeft er iemand ervaring mee om je domain cert (beide DOMAINCA en je domain.name.cert) om te zetten naar SHA256?

Relevante software en hardware die ik gebruik
Windows server 2019, van een domein wat gestart is op server 2008. (Is in de jaren elke keer vernieuwd met nieuwe DC servers)

Wat ik al gevonden of geprobeerd heb
Mijn DOMAINCA cert heb ik omgezet naat SHA256, maar het oude DOMAINCA cert blijft actief met SHA1 en kan ik niet verwijderen. Ook wijst het domein cert nog naar de oude DOMAINCA cert in certification path.

Iemand dus een idee hoe je beide omzet naar SHA256 ?

Ik weet niet hoe ik dit beter moet verwoorden helaas.

https://www.petenetlive.com/KB/Article/0001243 << Dit heb ik gevolgd, maar de oude cert blijft dus bestaan en actief... Mogelijk geeft dat meer inzicht.

woensdag 26 juni 2024 12:54

ElCondor

Geluk is Onmisbaar

Dus als je, voordat je de CA herstart, checkt, dan zie je dat het oude certificaat weg is uit de console?
En je CA herstarten, dat doe je door de SERVICE te stoppen en te starten? Of herstart je de hele server?
Heb je ook gekeken of het certificate uit de personal store van de CA server verwijderd wordt?

Dus MMC opstarten, certificate snap-in toevoegen en dan kijken in de verschillende stores of daar het certificate ook verdwenen is?
Niet vergeten óók te checken of het nieuwe root-cert hier ook te vinden is, anders zit je straks met een ca zonder root-cert.

Ik ben het zelf wel eens tegen gekomen waarbij een migratie van CA zo problematisch werd dat we er uiteindelijk voor gekozen hebben om de CA gewoon af te breken en een hele nieuwe op te bouwen. Linksom of rechtsom, je zult in beide gevallen op de clients nieuwe certs moeten enrollen om de het nieuwe root-certificate in gebruik te nemen. Ik denk niet dat de oude client en server certificates een nieuw root-certiifcate zo maar gaan accepteren. Wellicht dat iemand anders hier nog wat over kan roepen?

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

woensdag 26 juni 2024 08:06

Acties:

0 Henk 'm!

ElCondor

Geluk is Onmisbaar

Begin eens met vertellen wat er mis gaat. Je zegt, het oude certificate kan ik niet verwijderen, maar je geeft niet aan welke foutmelding je daarbij krijgt. Dit is essentieel voor foutoplossing. Er wordt een PowerShell commando gegeven om het oude certificaat te verwijderen en ik neem aan dat je die geprobeerd hebt. Je geeft aan dat dat mislukt, dus ik vermoed dat je bij die stap een foutmelding hebt gekregen. Wat was die precies?

Vergeet niet om [ code ] tags te gebruiken.

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

woensdag 26 juni 2024 10:24

Acties:

0 Henk 'm!

erwin26

Topicstarter

ElCondor schreef op woensdag 26 juni 2024 @ 08:06:
Begin eens met vertellen wat er mis gaat. Je zegt, het oude certificate kan ik niet verwijderen, maar je geeft niet aan welke foutmelding je daarbij krijgt. Dit is essentieel voor foutoplossing. Er wordt een PowerShell commando gegeven om het oude certificaat te verwijderen en ik neem aan dat je die geprobeerd hebt. Je geeft aan dat dat mislukt, dus ik vermoed dat je bij die stap een foutmelding hebt gekregen. Wat was die precies?

Vergeet niet om [ code ] tags te gebruiken.

Helaas krijg ik geen foutmelding. Het certificaat gaat "weg" maar als ik de CA herstart, dan is het oude certificaat gewoon weer terug met SHA1.

woensdag 26 juni 2024 12:54

Acties:

Beste antwoord ✓
0 Henk 'm!

ElCondor

Geluk is Onmisbaar

Dus als je, voordat je de CA herstart, checkt, dan zie je dat het oude certificaat weg is uit de console?
En je CA herstarten, dat doe je door de SERVICE te stoppen en te starten? Of herstart je de hele server?
Heb je ook gekeken of het certificate uit de personal store van de CA server verwijderd wordt?

Dus MMC opstarten, certificate snap-in toevoegen en dan kijken in de verschillende stores of daar het certificate ook verdwenen is?
Niet vergeten óók te checken of het nieuwe root-cert hier ook te vinden is, anders zit je straks met een ca zonder root-cert.

Ik ben het zelf wel eens tegen gekomen waarbij een migratie van CA zo problematisch werd dat we er uiteindelijk voor gekozen hebben om de CA gewoon af te breken en een hele nieuwe op te bouwen. Linksom of rechtsom, je zult in beide gevallen op de clients nieuwe certs moeten enrollen om de het nieuwe root-certificate in gebruik te nemen. Ik denk niet dat de oude client en server certificates een nieuw root-certiifcate zo maar gaan accepteren. Wellicht dat iemand anders hier nog wat over kan roepen?

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

donderdag 27 juni 2024 10:30

Acties:

0 Henk 'm!

erwin26

Topicstarter

Voordat ik de CA herstart, zie ik dat het oude Certificaat weg is uit de CA omgeving uit uit de MMC\Certificaat snap omgeving. Ik heb de CA gestopt en gestart en dan komt het certificaat op beide plekken terug (CA en MMC\Certificaat\Personal). Dit is ook het geval als ik stappen opnieuw doe en de server zelf herstart.

De nieuwe root certificaat is te vinden in de MMC locatie, maar weer niet in de CA omgeving. Lijkt mij wel dat die ook in CA moet komen. Wat nog gekker is, is dat het oude certificaat in CA staat met SHA1 en SHA256 (2 dus).

Thanks voor de reacties

Ik ga denk kijken om een nieuwe CA te bouwen. Ik vermoed dat deze CA al te problematisch geworden is. Mogelijk is dit voor mij ook sneller dan deze puzzel uit te zoeken.