ralpht
06.06.2019
view1647
view5
0
Goto Top

2-stufige PKI: Zertifizierungsstellenzertifikat erneuern

FrageMicrosoftWindows Server
Moin,

ich habe eine 2-stufige PKI. Wenn ich das Zertifizierungsstellenzertifikat erneuern muss, weil es demnächst abläuft, werden dann automatisch anschließend alle vorher ausgestellten Zertifikate ungültig? Auch wenn sie noch eine gewisse Laufzeit haben?

Ich habe das zweimal in einer Testumgebung einfach ausprobiert. Auf dem Testclient habe ich ein Officezertifikat und ein Zertifikat für die LAN-Authentifizeirung zum Einsatz gebracht.
Einmal lief anschließend die LAN-Authentifizeirung nicht mehr.
Beim zweiten Durchlauf gab es keine Probleme.

Daher bin ich jetzt etwas verunsichert, ob die vorher ausgestellten Zertifikate gültig bleiben oder auch nicht.

Wer kann dazu eine Aussage treffen?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 459145

Url: https://administrator.de/contentid/459145

Ausgedruckt am: 24.11.2024 um 16:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
Dani
Dani 06.06.2019 um 13:33:49 Uhr
Goto Top
Moin,
ich habe eine 2-stufige PKI. Wenn ich das Zertifizierungsstellenzertifikat erneuern muss, weil es demnächst abläuft, werden dann automatisch anschließend alle vorher ausgestellten Zertifikate ungültig?
welches Zertifkat von den beiden Zertifizierungstellen muss erneuert werden?

Auf dem Testclient habe ich ein Officezertifikat und ein Zertifikat für die LAN-Authentifizeirung zum Einsatz gebracht.
Was ist ein Office Zertifikat und was ist ein Zertifikat für eine LAN-Authentifizierung? Per Definition wird eigentlich nur zwischen den Authentifizierungsverfahren (Codesignierung, Server Authentifizierung, etc...) unterschieden. Damit wir hinterher vom Gleichen reden.

Einmal lief anschließend die LAN-Authentifizeirung nicht mehr.
Hm... was stand den im Log des Switches, Radius-Servers, etc...? Evtl. war es ein blöder Zufall.


Gruß,
Dani
RalphT
RalphT 06.06.2019 um 14:08:52 Uhr
Goto Top
Moin,

welches Zertifkat von den beiden Zertifizierungstellen muss erneuert werden?
Das ist das von der SUB-CA.

Was ist ein Office Zertifikat und was ist ein Zertifikat für eine LAN-Authentifizierung?
Das für die Officesignierung ist ein Zertifikat von der Vorlage Codesignatur. (Makros werden signiert)
Und das für die LAN-Authentifizierung ist ein Zertifikat vom der Vorlage Computer.

Hm... was stand den im Log des Switches, Radius-Servers, etc...? Evtl. war es ein blöder Zufall.
Das kann natürlich sein.
Ich hatte ca. 2 Std. nach dem Fehler gesucht und plötzlich lief es wieder. Im NPS stand diese Fehlermeldung:

Ursache:
Die Zertifizierungskette wurde richtig verarbeitet, doch wird eines
der Zertifizierungsstellenzertifikate vom Richtlinienanbieter nicht für vertrauenswürdig gehalten.
Dani
Dani 06.06.2019 aktualisiert um 15:04:54 Uhr
Goto Top
Moin,
Ich hatte ca. 2 Std. nach dem Fehler gesucht und plötzlich lief es wieder.
ein Schuss ins Blaue... da ich gerade unterwegs bin und kein Zugriff auf meien Unterlagen habe:
https://community.spiceworks.com/topic/1984253-renew-radius-nps-certific ...


Gruß,
Dani
RalphT
RalphT 11.06.2019 um 07:22:24 Uhr
Goto Top
ein Schuss ins Blaue... da ich gerade unterwegs bin und kein Zugriff auf meien Unterlagen habe:

Nee, das passte nicht so recht.
Ich werde das gleich noch einmal in der Testumgebung ausprobieren.
RalphT
RalphT 12.06.2019 um 13:47:16 Uhr
Goto Top
Ich habe das jetzt noch einmal ausprobiert.

Auch hier lief immer alles noch. Es scheint so, das dieser Fehler mit der LAN-Authentifizierung mit Zertifikat eine Ausnahme oder besser ein Zufall war.

Ich habe in allen 3 Fällen das Zwischenstellenzertifizierungszertifkat erneuert, allerdings ohne dass ein neues öffentliches Schlüsselpaar erzeugt wurde.
FrageMicrosoftWindows Server
Mehr von RalphTRalphTVigor2135FVac als Modem nutzbarRalphT - 7 KommentareRalphTAruba Switch - Frage zum Managen der VLANsRalphT - 2 KommentareRalphTPfSense auf ESXi - Einbau 4. Netzwerkkarte, kein ConnectRalphT - 4 KommentareRalphTDebian - send dhcp-client identifierRalphT - 5 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentareZZaaiiggaaDigitales Archiv - wie?ZZaaiiggaa - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 Kommentare