Category Archives: PKI

Windows Azure Hyper-V Recovery Manager

Posted on by

Hallo Leutz,

seit einiger Zeit nutze ich Windows Azure u. a. fuer Demonstrationen und Workshops zum Thema System Center 2012 R2 Virtual Machine Manager und der Windows Azure Hyper-V Recovery Manager Integration.
Gestern Abend wollte ich in Windows Azure den Hyper-V-Wiederherstellungs-Manager-Tresor loeschen und fuer eine andere Windows Azure Subscription neu erstellen.
Dazu habe ich den Datentresor in Windows Azure geloescht und fuer die neue Subscription einen neuen Datentresor erstellt.
Anschliessend habe ich auf dem SCVMM 2012 R2 Server ein neues Zertifkat erstellt und dieses in den Windows Azure Datentresor hochgeladen.
Bei dem anschliessenden Versuch den Windows Azure Hyper-V Recovery Manager Provider neu zu registrieren, erschien die Fehlermeldung, dass bereits ein Recovery Manager Tresor existiert und ein Zertifikat ebenfalls vorhanden ist. Angezeigt wurde der Tresor der alten Windows Azure Subscription. Deinstallation und Neuinstallation des Providers half nicht. Die Loesung des Problems war letztlich in der Registry des SCVMM-Server einige Schluessel zu bereinigen.
Die Loesung des Problems steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/HV-RecoverManager-Azure.pdf

Gruss Marc

 

PKI: CA Datenbank bereinigen…

Posted on by

…Hallo Allerseits,

wenn die Datenbank einer Microsoft CA im Laufe der Jahre auf eine ansehnliche Größe angewachsen ist, gibt es einige Ideen diese zu bereinigen. Unter anderem einen tollen Artikel dazu liefert das Ask the Directory Services Team unter http://blogs.technet.com/b/askds/archive/2010/08/31/the-case-of-the-enormous-ca-database.aspx.

Für ein aktuelles Kundenszenario hatten wir die Aufgabe die abgelaufenen Zertifikate aus der CA-Datenbank zu löschen. Da wir hier von einer CA reden, die in den letzten 5 Jahren ca. 170000 Zertifikate ausgestellt hat, ist das manuelle Löschen eher eine Strafarbeit.

Lösen konnten wir diese Aufgabe durch ein nettes Tool, welches mein Kollege Thomas Froitzheim programmiert hat. Am Beispiel unserer hausinternen (deutlich kleineren) CA liefert CertDbClean.exe folgende Ergebnisse:

image

Nach getaner Arbeit:

image

Ein finaler Scan meldet dann im Anschluss:

image

Insofern: Ihr wollt auf einfachem Wege die abgelaufenen Zertifikate aus der CA-Datenbank löschen? Wir haben die Lösung!

Smiley

Gruß und bis dahin,

Karsten Hentrup aka Jens Mander…

|<-|

Entrust.net Secure Server Certification Authority Probleme mit RSA Key kleiner als 2.048 Bit

Posted on by

Hallo Leutz,

bei einem Kunden wurden fuer die Exchange Server Zertifikate von Entrust verwendet. Seit einigen Tagen haeufen sich bei diversen Clients die Fehlermeldungen, dass die Outlook Web App Seite nicht mehr per HTTPS erreicht werden kann. Es erscheint die Meldung “Die Webseite kann nicht angezeigt werden”, welche auf den ersten Blick vermuten laesst, der IIS stellt kein Socket mehr auf Port 443 zur Verfuegung, was aber nicht der Fall ist, da das Problem nur an vereinzelten Clients auftaucht. Nach einiger Recherchen habe ich festgestellt, dass Entrust (Comodo) die Ausstellung von RSA Schluesseln kleiner als 2.048 Bit fuer eigene Zertifizierungsstellen (Root und Intermediate) gesperrt hat. Wie man die Ursache des Problems ermitteln und eine Loesung schaffen kann, steht in folgendem Bilderbuch:
http://www.it-training-grote.de/download/Entrust-RootCA.pdf

Gruss Marc

Microsoft SHA1 Deprecation Policy

Posted on by

Hallo Leutz,

Microsoft hat in dem Blogeintrag http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx heute (12.11.2013) angekuendigt, mit SHA1 ausgestellte SSL und CodeSigning Zertifikate in zeitlich festgelegten Stufen aus Sicherheitsgruenden nicht mehr zu unterstuetzen. Das wesentliche in Kuerze:
Juli 2015 – Microsoft wird in diesem Zeitraum neue Informationen / Richtlinien veroeffentlichen, wie mit der SHA1 Abloesung durch SHA2 umzugehen ist
01.01.2016 – CA Anbieter, welche Mitglied im Windows Root CA Programm sind, muessen ab diesem Zeitpunkt SHA2 Zertifikate ausstellen
01.01.2016 – Windows akzeptiert keine Code Signing Zertifikate mehr, welche auf SHA1 basieren und KEINEN Zeitstempel besitzen. Code Signing Zertifikate mit Zeitstempel vor 01.01.2016 werden weiterhin akzeptiert bis Microsoft entscheidet, dass diese Zertifikate angreifbar fuer “Pre-Image-Attacken” sind
01.01.2017 – Windows akzeptiert ab diesem Zeitpunkt keine SSL-Zertifikate mit SHA1
01.01.2017 – Webserver Administratoren / CA Administratoren muessen neue Zertifikate fuer alle ausgestellten SSL und Code Signing Zertifikate mit SHA1 ausstellen und sicherstellen das SHA2 verwendet wird.

Fuer PKI-Administratoren / Webserver-Administratoren bedeutet dass:
1) Zeitnah alle Anwendungen und Dienste zu evaluieren, welche SSL und CodeSigning Zertifikate mit SHA1 verwenden und pruefen, ob diese durch SHA2 Zertifikate ausgetauscht werden koennen
2) Neue PKI Implementierungen gleich mit SHA2 (CNG) Support etablieren, wobei auch hier vorher die Auswirkungen auf die IT Infrastruktur zu beruecksichtigen sind
3) Migrationswege zur “Migration” vorhandener CA auszuarbeiten, welche noch nicht zur Verwendung von CNG Algorithmen konfiguriert sind. Je nach verwendetem CSP (z. B. Microsoft Strong Cryptographic Provider) kann es sehr aufwaendig werden, eine existierende CA auf CNG umzustellen (z. B.: http://www.it-training-grote.de/download/WindowsCA-SHA1-SHA256.pdf)

Gruss Marc

Windows Server 2008 R2 RootCA startet nicht mehr

Posted on by

Hallo Leutz,

bei einem Kunden startete die Windows Server 2008 R2 RootCA nicht mehr mit der Fehlermeldung: WsResetMetadata 0xd00000bb (-805306181).
Schuld war ein fehlender Registry Key (siehe Bilderbuch). Wer oder was die Ursache des Problems war, konnte ich bisher nicht ermitteln:
http://www.it-training-grote.de/download/RootCA-WSResetMetaData.pdf

Gruss Marc

System Center und Windows Server Power Workshops bei der Fa. Netz-Weise in Hannover

Posted on by

Hallo Leutz,

Ab Januar 2014 biete ich in Zusammenarbeit mit der Firma Netz-Weise (http://www.netz-weise.de) diverse Windows Server 2012 R2 und System Center Workshops an:

Hyper-V – Windows Server 2012 R2 Failover Cluster (5 Tage) – 05-09.05.2014
System Center Virtual Machine Manager R2 (3 Tage) – 27-29.01.2014
Windows Server 2012 R2 Direct Access (Unified Remote Access) (3 Tage) – 28-30.04.2014
Windows Server 2012 R2 PKI (4 Tage) – 24-27.03.2014
Exchange Server 2013 (4 Tage) – 17-20.02.2104

Details zu den Workshops findet Ihr hier: http://www.netz-weise.de/lernen-von-den-besten/microsoft-server-mit-marc-grote.html

Weitere Informationen findet Ihr auf der Webseite der Netz-Weisen: http://www.netz-weise.de/home.html

Gruss Marc

Artikel – Entwickeln eines Netzwerksicherheits-Plan in Windows Umgebungen – Artikel fuer die Printausgabe des IT Administrator

Posted on by

Hallo Leutz,

fuer die Oktober 2013 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema Entwickeln eines Netzwerksicherheits-Plan in Windows Umgebungen geschrieben. Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc