5
Zwei Windows Zertifizierungsstellen betreiben
Guten Morgen
Gibt es in einer Windows Server Umgebung ein Problem wenn man zwei Zertifizierungsstellen einrichtet mit unterschiedlichen Namen in der Stammzertifizierungsstelle?
Hintergrund ist der, dass es eine sehr alte Umgebung gibt welche nur für SHA1 Zertifikate verwendet wird. Zusätzlich würde ich die Zertifizierungsstelle lieber auf eine eigene VM drauf tun. Nun wäre meine Idee eine zweite zu machen, so dass auch dieses Root Zertifikat automatisch in der Domäne verteilt wird, und nach und nach die alten Zertifikate zu ersetzen bis ich irgendwann die alte Zertifizierungsstelle deinstallieren kann.
Falls nicht, gibt es irgendwie die Möglichkeit ein zweites Root Zertifikat in der bestehenden zu erstellen mit SHA512 so das noch beide vorhanden wären?
Leider habe ich bisher im Internet noch nichts gefunden was mir bei diesem Speziellen Fall helfen könnte. Für mich wäre aber der erste Ansatz eigentlich der säuberste da man so auch gleich Altlasten abbauen kann.
Gruss und Danke
Koda
Gibt es in einer Windows Server Umgebung ein Problem wenn man zwei Zertifizierungsstellen einrichtet mit unterschiedlichen Namen in der Stammzertifizierungsstelle?
Hintergrund ist der, dass es eine sehr alte Umgebung gibt welche nur für SHA1 Zertifikate verwendet wird. Zusätzlich würde ich die Zertifizierungsstelle lieber auf eine eigene VM drauf tun. Nun wäre meine Idee eine zweite zu machen, so dass auch dieses Root Zertifikat automatisch in der Domäne verteilt wird, und nach und nach die alten Zertifikate zu ersetzen bis ich irgendwann die alte Zertifizierungsstelle deinstallieren kann.
Falls nicht, gibt es irgendwie die Möglichkeit ein zweites Root Zertifikat in der bestehenden zu erstellen mit SHA512 so das noch beide vorhanden wären?
Leider habe ich bisher im Internet noch nichts gefunden was mir bei diesem Speziellen Fall helfen könnte. Für mich wäre aber der erste Ansatz eigentlich der säuberste da man so auch gleich Altlasten abbauen kann.
Gruss und Danke
Koda
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 546805
Url: https://administrator.de/contentid/546805
Printed on: April 25, 2024 at 02:04 o'clock
5 Comments
Latest comment
Hallo Koda,
praktisch dürfte dies kein Problem darstellen, da du schon "naturgemäß" mehr als eine Stammzertifizierungsstelle in (fast) jedem Zertifikatsspeicher hast.
Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
VG,
Christian
certifiedit.net
praktisch dürfte dies kein Problem darstellen, da du schon "naturgemäß" mehr als eine Stammzertifizierungsstelle in (fast) jedem Zertifikatsspeicher hast.
Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
VG,
Christian
certifiedit.net
Hallo Christian
Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?
Genau deshalb möchte ich die alten schnellstmöglich ersetzen. Eine interne Anwendung benötigt jedoch noch die SHA1 welche aber auch bald ersetzt wird. Spätestens dann wird die alte Zertifizierungsstelle deinstalliert.
Gruss
Koda
Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?
Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
Gruss
Koda
Zitat von @KodaCH:
Hallo Christian
Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?
Genau deshalb möchte ich die alten schnellstmöglich ersetzen. Eine interne Anwendung benötigt jedoch noch die SHA1 welche aber auch bald ersetzt wird. Spätestens dann wird die alte Zertifizierungsstelle deinstalliert.
Gruss
Koda
Hallo Christian
Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?
Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
Gruss
Koda
Imho werden Stammzertifikate nie automatisch verteilt. (Kann natürlich sein, dass ich einen Assistenten übersehen hab).
Ggf. wäre dann der Weg "App weg - Stammzert weg" der optimalere - solche Leichen haben oft länger Bestand als gewünscht.
Nur weil die CA ein altes Hashing-Verfahren nutzt muss man sie nicht extra neu aufsetzen, erneuere das ROOT Cert und dann nach und nach die ausgestellten
https://support.symantec.com/us/en/article.TECH246255.html
Eine zweistufige Kombination aus Offline-Root und subordinate CA wäre aber trotzdem anzuraten.
https://blogs.technet.microsoft.com/askds/2015/10/26/sha1-key-migration- ...
Gute Planung bleibt nach wie vor das A und O einer CA Infrastruktur.
https://support.symantec.com/us/en/article.TECH246255.html
Eine zweistufige Kombination aus Offline-Root und subordinate CA wäre aber trotzdem anzuraten.
https://blogs.technet.microsoft.com/askds/2015/10/26/sha1-key-migration- ...
Gute Planung bleibt nach wie vor das A und O einer CA Infrastruktur.
Grundsätzlich ist es ratsam dass das Root des Zertifizierungspfad offline ist und nur verwendet wird um die folgenden Stufen der PKI zu füttern.
Je nach Größe der Organisation kann die PKI drei und mehr Stufen haben.
Das System, was das Root Zertifikat stellt, gehört zu den am besten zu schützenden IT-Systemen überhaupt.
Ich kenne viele große und internationale Unternehmen die hier massive Differenzen haben.
Du kannst mehrere Root-Zertifikate haben. Das ist offiziell supported seitens MS und war zum Ende von SHA1 sehr aktuell.
Dass du immer noch bei SHA1 bist, ist bedenklich.
Je nach Größe der Organisation kann die PKI drei und mehr Stufen haben.
Das System, was das Root Zertifikat stellt, gehört zu den am besten zu schützenden IT-Systemen überhaupt.
Ich kenne viele große und internationale Unternehmen die hier massive Differenzen haben.
Du kannst mehrere Root-Zertifikate haben. Das ist offiziell supported seitens MS und war zum Ende von SHA1 sehr aktuell.
Dass du immer noch bei SHA1 bist, ist bedenklich.
