Ausgabe CA muss oft aus verschiedenen Gründen außer Betrieb genommen werden, beispielsweise

Das Betriebssystem erreicht das Ende seiner Lebensdauer
CA könnte kompromittiert sein
CA hat Betriebsprobleme und die Bereinigung ist zu kompliziert.

Unabhängig vom Grund kann die Migration zu einer neuen ausstellenden Zertifizierungsstelle einfach erscheinen. Dennoch kann sie neue Herausforderungen mit sich bringen, wie z. B. die Minimierung von Risiken und betrieblichen Auswirkungen usw.

Bei der Migration ausstellender Zertifizierungsstellen müssen wir sicherstellen,

Die aktuell ausgestellten Zertifikate bleiben bis zum Ablauf ihrer Gültigkeit gültig.
Die alte ausstellende CA sollte keine weiteren Zertifikate ausstellen.
Wir können zu anderen CDP/AIA-Punkten entsprechend den erforderlichen Änderungen wechseln, aber die ausstellende CA hätte nur einen minimalen Aufwand und keine Auswirkungen auf die PKI-Infrastruktur.

Voraussetzungen:

Bevor wir beginnen, benötigen Sie einen neuen Server, der als neue ausstellende Zertifizierungsstelle fungiert. Der Server muss konfiguriert und die ausstellende Zertifizierungsstelle installiert sein.

Schritte zur Migration

Diese Schritte helfen Organisationen bei der Migration zu einer neuen ausstellenden Zertifizierungsstelle.

Wenn CDP/AIA-Punkte nicht geändert werden, sind die Schritte 2, 4 und 5 optional und sollten nicht befolgt werden.

Melden Sie sich bei der alten ausstellenden Zertifizierungsstelle an
CDP/AIA-Verteilungspunkte identifizieren (optional)
1. Öffnen Sie die Eingabeaufforderung
2. Geben Sie den Befehl ein
  
  certutil -getreg CA\CACertPublicationURLs
3. Dokumentieren Sie die HTTP-AIA-Punkte. Ignorieren Sie LDAP und C:\%windir%
  
  Wie im Screenshot zu sehen ist, ist der AIA-Punkt http://pki.encon.com/CertEnroll/%1_%3%4.crt
  
  %1 bezieht sich auf ServerDNSName
  
  %3 bezieht sich auf CaName
  
  %4 bezieht sich auf den Zertifikatsnamen
  
  Tatsächliche URL: http://pki.encon.com/CertEnroll/iCA2016.encon.com_iCA2016.crt
4. Geben Sie den Befehl ein
  
  certutil -getreg CA\CRLPublicationURLs
5. Dokumentieren Sie die HTTP-CDP-Punkte. Ignorieren Sie LDAP und C:\%windir%
  
  Wie im Screenshot zu sehen ist, ist der CDP-Punkt http://pki.encon.com/CertEnroll/%3%8%9.crl
  
  %3 bezieht sich auf CaName
  
  %8 bezieht sich auf CRLNameSuffix
  
  %9 bezieht sich auf DeltaCRLAllowed
  
  Tatsächliche URL: http://pki.encon.com/CertEnroll/iCA2016.crl

Deaktivieren der Delta-CRL und Ausstellen einer neuen langen Zertifikatsperrliste (CRL)
1. Öffnen Sie die Zertifizierungsstellenkonsole
2. Klicken Sie mit der rechten Maustaste auf „Gesperrte Zertifikate“ und dann auf „Eigenschaften“.
3. Deaktivieren Sie „Delta-CRL veröffentlichen“.
4. Bearbeiten Sie das „CRL-Veröffentlichungsintervall“ auf 99 Jahre
  
  klicken Sie auf OK
5. Öffnen Sie die Eingabeaufforderung als Administrator
6. Geben Sie den folgenden Befehl ein
  
  certutil -crl
Kopieren Sie die Zertifikatsdateien (crt) und Zertifikatsperrlisten (CRLs) der alten Zertifizierungsstelle in neue CDP/AIA-Punkte (optional).
1. Navigieren %windir%\System32\CertSrv\CertEnroll
2. Kopieren Sie die CRT- und CRL-Dateien der alten CA in neue CDP/AIA-Punkte
Leiten Sie AIA- und CDP-Punkte der alten CA an den neuen Standort um

Dies kann mit einem
1. IIS-Umleitung oder
2. DNS CNAME
  Umleitung der AIA und CRL der alten Zertifizierungsstelle.
Dokumentieren Sie alle Zertifikatvorlagen und beenden Sie die Zertifikatsveröffentlichung bei der alten ausstellenden Zertifizierungsstelle.
1. Öffnen Sie die Befehlszeile mit erhöhten Rechten
2. Führen Sie
  
  Certutil -catemplates > c:\catemplates.txt
  
  und dokumentieren Sie alle bei der alten Zertifizierungsstelle veröffentlichten Zertifikatsvorlagen
  
  Insgesamt Zertifikatvorlagen sind anwesend.
3. Starten Sie die Zertifizierungsstellenkonsole
4. Navigieren Sie zu „Zertifikatvorlagen“
5. Markieren Sie alle Vorlagen im rechten Bereich, klicken Sie mit der rechten Maustaste und klicken Sie dann auf „Löschen“.
  
  Die alte Zertifizierungsstelle kann keine Zertifikate mehr ausstellen und hat alle ihre AIAs und CRLs an einen neuen CRL-Verteilungspunkt umgeleitet. In den nächsten Schritten wird detailliert beschrieben, wie Benutzer die auf der alten ausstellenden Zertifizierungsstelle veröffentlichten Zertifikatsvorlagen dokumentieren und bei der neuen ausstellenden Zertifizierungsstelle verfügbar machen können.
Sortieren Sie die Zertifizierungsstellendatenbank, identifizieren und dokumentieren Sie alle ausgestellten Zertifikate anhand von Zertifikatsvorlagen
1. Öffnen Sie die Zertifizierungsstellenkonsole.
2. Markieren Sie „Ausgestellte Zertifikate“.
3. Gehen Sie nach rechts und sortieren Sie nach „Zertifikatvorlagen“.
4. Identifizieren Sie die Zertifikate, die ausgestellt wurden von Standardtypen für Zertifikatvorlagen.
5. Dokumentieren Sie die von benutzerdefinierten Zertifikatvorlagen ausgestellten Zertifikate, d. h. alle Vorlagen, die nicht die Standardzertifikatvorlagen sind.

Dokumentieren von Zertifikaten basierend auf Standardzertifikatvorlagentypen
1. Öffnen Sie die Eingabeaufforderung mit erhöhten Rechten
2. Führen Sie
  
  Certutil -view -restrict „Zertifikatvorlage=Vorlage" -out „Seriennummer, NichtNachher, DistinguishedName, Allgemeiner Name“> c:\Vorlagentyp.txt
  
  Hinweis: Ersetzen Sie die Vorlage durch den richtigen Vorlagennamen
3. Überprüfen Sie die Ausgabe in TemplateType.txt und dokumentieren Sie alle Zertifikate, die sofortige Maßnahmen erfordern (ggf. müssen sie von der neuen CA-Infrastruktur ausgestellt werden, z. B. Webserver-Zertifikate).
4. Beraten Sie sich mit den Anwendungsadministratoren, die die Zertifikate verwenden, um die beste Vorgehensweise zum Ersetzen der Zertifikate zu ermitteln, falls erforderlich.
Dokumentieren Sie Zertifikate basierend auf benutzerdefinierten Zertifikattypen
1. Öffnen Sie die Zertifizierungsstellenkonsole
2. Rechtsklick auf Zertifikatvorlagen und Klicken Sie auf Verwalten
3. Doppelklicken Sie auf die Zertifikatvorlage und klicken Sie auf die Registerkarte „Erweiterungen“
4. Klicken Sie auf „Informationen zur Zertifikatsvorlage“.
5. Kopieren Sie die Object Identifier (OID)-Nummer – die Nummer sieht ähnlich aus wie
  1.3.6.1.4.1.311.21.8.5363900.15781253.12798358.11444918.12080715.141.12736713.11129372
6. Öffnen Sie die Eingabeaufforderung mit erhöhten Rechten
7. Führen Sie
  
  Certutil -view -restrict „Zertifikatvorlage= 1.3.6.1.4.1.311.21.8.5363900.15781253.12798358.11444918.12080715.141.12736713.11129372 mm -out „Seriennummer, NichtNachher, DistinguishedName, Allgemeiner Name“> c:\BenutzerdefinierterVorlagentyp.txt
  
  Hinweis: Ersetzen Sie die OID-Nummer durch die in Schritt 5 ermittelte Nummer
8. Untersuchen Sie die Ausgabe von c:\CustomTemplateType.txt und dokumentieren Sie alle Zertifikate, bei denen sofortige Maßnahmen erforderlich sind (ggf. ist eine Ausstellung durch die neue CA-Infrastruktur erforderlich, z. B. benutzerdefinierte SSL-Zertifikate).
9. Besprechen Sie mit dem Anwendungsadministrator, der die Zertifikate verwendet, die beste Vorgehensweise zum Ersetzen der Zertifikate, falls erforderlich.
Aktivieren Sie die Zertifikatvorlagen, die für die Ergebnisse der Schritte 7 bis 9 für die neue ausstellende Zertifizierungsstelle erforderlich sind.
1. Melden Sie sich bei der neuen ausstellenden Zertifizierungsstelle an.
2. Klicken Sie mit der rechten Maustaste auf „Zertifikatvorlagen“, klicken Sie auf „Neu“ und dann auf „Auszustellende Zertifikatvorlagen“.
3. Wählen Sie im Fenster „Zertifikatvorlagen aktivieren“ alle benötigten Zertifikatvorlagen aus und klicken Sie auf > OK.

Fazit

Mit diesen Schritten können Unternehmen zur neuen ausstellenden Zertifizierungsstelle migrieren und gleichzeitig die alte ausstellende Zertifizierungsstelle außer Betrieb nehmen. Da Windows 2012 im Oktober 2023 endet, benötigen Unternehmen eine Lösung, die ihnen die Migration auf neuere Betriebssysteme mit minimalen Auswirkungen erleichtert.

Wenn Ihre Organisation bei dieser Migration Unterstützung benötigt, senden Sie uns eine E-Mail an info@encryptionconsulting.com, und wir sorgen dafür, dass Ihre Migration so reibungslos wie möglich verläuft.