Deinstallation einer CA
Windows macht es per Assistent sehr einfach, eine Zertifizierungsstelle zu installieren und zu deinstallieren. Im Hintergrund werden automatisch Einträge im AD hinterlegt, damit Domainmitglieder die neue CA als Vertrauenswürdig ansehen und wissen, welche Templates sie anbieten. Eine gut geplante PKI muss nicht wirklich deinstalliert werden, sondern wird über Jahre oder gar Jahrzehnte immer wieder weiter betrieben. Kommt es aber zu dem Fall, dass eine CA entfernt werden muss, dann sollte dies "geplant "passieren.
Gründe für die Deinstallation
Üblicherweise kann eine Zertifizierungsstelle über viele Jahre bestehen und kontinuierlich an die Anforderungen angepasst werden. Selbst für Übertragung auf andere Server und sogar andere Betriebssysteme und Zertifizierungsprogramme ist meist möglich, zumindest wenn das Zertifikat der Zertifizierungsstelle samt privatem Schlüssel exportiert werden kann. Dennoch erleben wir es häufig, dass eine früher "mal eben schnell" installierte CA heute nicht mehr "gewollt" ist. Oft zeigen sich bei der bisherigen CA diverse Limitierungen, z.B.
- Name der CA ist "unpassend"
Das ist ein häufiger Fall, wenn eine Firma umbenannt wird und alle Spuren auf den früheren Namen eliminieren will. - Veränderungen beim
Admin-Konzept
Wurde früher eine CA auch schon mal gerne auf einem DC installiert, was für die Ausstellung von Zertifikaten für WebServer und Computer sogar toleriert werden könnte, so wird man heute CAs entweder Standalone (z.B. die Root) oder auf einem Memberserver installieren. So lassen sich Berechtigungen besser steuern und der "DomainAdmin" ist nicht immer "Gott" im Netzwerk. - Mehrstufigkeit gewünscht
Genauso oft wurde früher gerne eine einzelne AD-Integrierte Root-CA installiert. Ist heute eine neue PKI erforderlich, dass wird meist eine eigenständige RootCA aufgebaut, die eine Issuing-CA zertifiziert, die dann die Zertifikate ausstellt. Dann muss irgendwann die "alte Root" natürlich weg.
Dann gibt es noch einige andere Gründe, die gerne für eine neue PKI angeführt werden, aber nicht wirklich zwingend sind. Oft ist es ein fehlendes Wissen. Dazu fehlen gehören u.a.:
- Fehlender oder falsch
definierter CRL-Pfad
Eine RootCA bietet zwar eine CRL an, mit der Clients die ausgestellten Zertifikate prüfen können aber das Root Zertifikat selbst hat keine CRL-Adresse. Es ist ja ein Root Zertifikat. Nur das Zertifikat einer untergeordneten CA hat eine CRL. - Ablaufendes Stammzertifikat
Anders sieht es aus, wenn das Stammzertifikat langsam an das Ende seiner Gültigkeit kommt. Kein davon abgeleitetes Zertifikat kann über das Ablaufdatum der CA gültig sein. Das Stammzertifikat können Sie natürlich verlängern. Aber es muss auf allen Clients dennoch neu als "trusted" addiert werden. - Zu viele CAs nebeneinander
Diverse Dienste wie z.B. Direct Access nutzen Computerzertifikate auf dem Client zur Authentifizierung, aber erwarten dabei eine bestimmte ausstellende CA. Wer also mehere Zertifizierungsstellen hat, die z.B. Computerzertifikate ausstellen, könnten sie bekommen. Deswegen muss aber nicht die komplette CA deinstalliert werden. Hier kann man mit Berechtigungen, Steuerung des AutoEnrollment und Templates eine Lösung finden.
Wenn Sie nicht sicher sind, warum sie eine Zertifikatsstelle deinstallieren wollen, dann sollten Sie sich Hilfe organisieren.
Wir können und mit Zertifizierungsstellen und Zertifikaten aus. Hier auf der MSXFAQ gibt es sehr viele Seiten zum Thema aber bei so einer kritischen Komponenten sollten Sie sich nicht scheuen, fachliche Hilfe anzufordern. Siehe Net at Work
Risiken einer ungeplanten Abschaltung
Gut, sie haben mindestens einen Grund eine bestehende CA zu entfernen. Ein einfaches "Abschalten und Wegwerfen" ist zwar möglich aber bringt zumindest negative Effekte mit sich.
- CLR Erreichbarkeit
Zum einen ist dann die CRL nicht mehr erreichbar und die Clients, die weiter mit dem Zertifikat arbeiten, fangen an irritiert zu suchen. Einige werden das Fehlen ignorieren und weiter machen, anderen werden stoppen und nachfragen und wieder andere werden sich weigern. Einige SSL-Verbindungen benötigen mehr Zeit beim Aufbau. Kniffliger wird es, wenn Authentifizierungsverfahren auf Clientzertifikate warten und aktiv deren Gültigkeit prüfen wollen.
So starten Skype for Business Dienste eventuell nicht mehr, wenn die Zertifikatsprüfung nicht mehr geht. - Ein nicht sauber deinstallierte CA bleibt im Active Directory weiter bestehen. Prozesse, die automatisch Zertifikate von einer "bekannten CA" anfordern, versuchen die nicht mehr vorhandene CA zu erreichen. Mit etwas Glück erwischen Sie früh genug eine andere funktionierende CA und melden nur eine Warnung. Es kann aber auch ganz anders ausgehen
Zudem nehmen Sie sich mit dem ungeplanten Abbau einer CA auch die Möglichkeit, eine Liste der von ihr ausgestellten Zertifikate zu erhalten und diese zu tauschen.
Abbau mit Planung
Der Abbau einer Zertifizierungsstelle geht in den meisten Fällen mit dem Aufbau einer neuen PKI einher. Zertifikate werden eher wichtiger denn unwichtiger und ehe Sie eine CA abbauen, sollten alle von ihr ausgestellten Zertifikate auf den jeweiligen Systemen nur neue Zertifikate einer anderen CA ersetzt worden sein. Also sollten Sie die Deinstallation planen.
Arbeitsschritt | Erledigt |
---|---|
Bestimmen der aktuellen FunktionZuerst sollten Sie alle Informationen über die aktuelle CA sammeln, solange diese noch aktiv ist. insbesondere:
|
|
Aufbau der AlternativeDann müssen Sie die verbliebenen Server ihrer PKI ggfls. anpassen, dass diese nun die Aufgaben übernehmen, die ihre alte CA bislang hatte. Wer eine "falsche" CA abbaut, hat oft auch bei den anderen CAs noch deutliche Defizite. Prüfen Sie, dass die verbleibenden CAs ihren Anforderungen entsprechen
|
|
Alte CA als "ReadOnly" setzenDamit meine ich, dass die bisherige CA keine neuen Zertifikate mehr ausstellen darf aber sonst weiter natürlich CRL-Listen pflegen muss. Am einfachsten geht das, indem Sie die Verknüpfung zu den Templates von der alten CA entfernen, nachdem Sie die Funktion der neuen Umgebung sichergestellt haben. |
|
Zertifikate tauschenDann sollten Sie nacheinander alle noch gültigen Zertifikate, die von dieser CA ausgestellt wurden, auf den entsprechenden Servern durch neue Zertifikate einer anderen CA ersetzen. Das kann durchaus einige Zeit erfordern. Wenn Sie es perfekt machen wollen, dann sollten Sie die nun hoffentlich nicht mehr genutzten Zertifikate in der CA auch zurückrufen. Das kann aber dazu führen, dass ein Zertifikat, welches auf mehreren Servern zum Einsatz gekommen ist und die dies nicht gefunden haben, zu Problemen führt. Wenn Sie das Zertifikat nicht über die CRL unbrauchbar machen, dann müssen Sie sich selbst eine Liste führen, welche Zertifikate "erledigt" sind. Ob sie die Zertifikate zurückziehen ist nicht so wichtig, da die CRL nach der Deinstallation der PKI vielleicht auch nicht mehr verfügbar ist. |
|
KontrolleWenn Sie nun alle Zertifikate ersetzt haben, dann sollte im Idealfall kein Client oder Server mehr diese CA ansprechen. Kontrollieren Sie einfach mal das IISLogs auf Zugriffe auf die CRL. Wenn irgendwo doch noch bislang unerkannt etwas diese CRLs anspricht, dann sollten sie hier noch nacharbeiten. Denn gleich ist die CA gar nicht mehr da. |
|
CRL umziehenWenn Sie vor der Deinstallation die Zertifikate alle zurückgezogen haben und diese Information auch noch nach der Deinstallation der CA bestand haben soll, dann müssen Sie die CRL dieser CA noch zumindest so lange weiter betreiben, bis das am längsten laufende Zertifikat ausgelaufen ist.
Achtung: Das bedeutet dann aber:
REM CRl Datei z.B. auf 100 Tage setzen certutil -setreg CA\CRLDeltaPeriodUnits 1000 certutil -setreg CA\CRLDeltaPeriod "days" CRL jetzt generieren certutil -dspublish -f "name_of_root_ca_cert.CRT" RootCA certutil -dspublish -f "name_of_ca_crl.CRL"
Wenn Sie damals bei der Einrichtung keinen CNAME für die CRL verwendet haben, dann müssen Sie nach dem Abbau der CA und das Servers den DNS-Eintrag auf den neuen Server umbiegen.
Tipp |
|
CA deinstallierenDie Deinstallation der CA ist bei Windows ebenfalls über einen Assistenten einfach möglich. Aber das ist nicht alles.
|
|
AD-ObjekteEine AD-integriert PKI veröffentlicht ihr Stamm-/Issuing-Zertifikat auch im Active Directory. Prüfen und entfernen Sie ggfls. obsolete Zertifikate.
|
|
Eine Deinstallation ist also schon etwas mehr als "nur" Setup -Weiter -Weiter aufzurufen. Nur durch eine saubere Planung und koordinierte Vorgehensweise bleiben Ausfälle oder Verzögerungen aus. Sehen Sie diese Schritte als Chance, ihre PKI "sauberer" zu machen und endlich z.B. auch die "richtigen" Zertifikate mit einer korrekten CRL, entsprechender Gültigkeit und Dokumentation auszustellen.
Weitere Links
- Firmen CA
- CRL
- How to decommission a Windows enterprise
certification authority and remove all related objects
https://support.microsoft.com/en-us/help/889250/how-to-decommission-a-windows-enterprise-certification-authority-and-r - 889250 How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000
- 555151 How to remove manually Enterprise Windows Certificate Authority from Windows 2000/2003 Domain
- 555894 How to remove a trusted Certificate Authority from computers in the domain
- 298138 How to move a certification authority to another server
- 289749 Certificate Revocation Lists (CRLs) and IIS 5.0 frequently asked questions
- How EffectiveDate (thisupdate), NextUpdate and
NextCRLPublish are calculated
http://blogs.technet.com/b/pki/archive/2008/06/05/how-effectivedate-thisupdate-nextupdate-and-nextcrlpublish-are-calculated.aspx - How to Decommission a Windows Enterprise
Certification Authority and How to Remove All Related
Objects
http://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspx - How to decommission a Windows enterprise
certification authority and remove all related objects
https://learn.microsoft.com/en-US/troubleshoot/windows-server/windows-security/decommission-enterprise-certification-authority-and-remove-objects
https://support.microsoft.com/en-in/help/889250/how-to-decommission-a-windows-enterprise-certification-authority-and-r - Abbau einer Windows Server 2008 R2 PKI
http://technikblog.rachfahl.de/losungen/abbau-einer-windows-server-2008-r2-pki/ - Removing the last CA and cleaning up AD, then
setting up a new CA
http://sysadminops.blogspot.de/2012/11/removing-last-ca-and-cleaning-up-ad_5.html - Oops - You Mean That Deleted Server was a
Certificate Authority?
http://isc.sans.edu/diary/Oops+-+You+Mean+That+Deleted+Server+was+a+Certificate+Authority%3F/15608 - Manually remove old CA references in
Active Directory
https://mssec.wordpress.com/2013/03/19/manually-remove-old-ca-references-in-active-directory/