deathman
Goto Top

Änderung an AIA und CDP Settings in einer 2 Stufigen PKI

Guten Tag zusammen,

Ich habe hier eine zweistufige PKI. Ich habe aber leider damals den Fehler gemacht nicht an Geräte zu denken die nicht in unserer Domäne sind.

Die Reihenfolge in den AIA und CDP Setting ist: Lokal(Default),LDAP und dann http://.

Nun habe ich das Problem, das Geräte die von außerhalb der Domäne kommen versuchen die LDAP Adresse aus den Sperrlisten zu erreichen, was sie natürlich nicht können.
Ergo habe ich immer einen Timout für den Eintrag und einige Geräte mögen dies nicht.

Das ganze ist auf der Offline CA und der Austellenden CA so eingestellt. Meine Fragen wäre nun:

1. Kann ich die Einstellung ändern (also LDAP aus der Liste löschen)?
2. Werden dann neue Zertifikate ohne den LDAP Eintrag ausgestellt?
3. Bleiben die alten, die mit ausgestellt wurden gültig?
4. Muss ich das Root und Zwischenzertifikat erneuern?

Hoffe einer weiß Rat.

Vielen Dank und freundliche Grüße

Andre

Content-ID: 394656

Url: https://administrator.de/contentid/394656

Printed on: December 3, 2024 at 23:12 o'clock

137846
Solution 137846 Dec 04, 2018, updated at Dec 05, 2018 at 10:40:52 (UTC)
Goto Top
Zitat von @deathman:
Das ganze ist auf der Offline CA und der Austellenden CA so eingestellt. Meine Fragen wäre nun:

1. Kann ich die Einstellung ändern (also LDAP aus der Liste löschen)?
Ja, das machst du in den CA Properties deiner CA.

2. Werden dann neue Zertifikate ohne den LDAP Eintrag ausgestellt?
Nur wenn du das Template auch anpasst.
Es gilt das was du für die Templates definierte hast, wenn dort kein LDAP Eintrag vorhanden ist wird im neuen Zertifikat auch keiner mehr drin sein.
3. Bleiben die alten, die mit ausgestellt wurden gültig?
Ja, solange du das CA Zertifikat und das Zertifikat nicht als ungültig markierst.
4. Muss ich das Root ich das Zwischenzertifikat erneuern?
Nur wenn im Zwischenzertifikat ein LDAP Eintrag ist.
deathman
deathman Dec 04, 2018 updated at 20:38:02 (UTC)
Goto Top
Hallo,

Danke erstmal für die Antwort.

Mit Template meinst du doch sicher diese Einstellung oder?

4645.aia-ui1-550x0

Leider ist auch im Zwischenzertifikat der Eintrag. Hab damals halt gepennt.

Dazu noch zwei Fragen:
1. Muß ich dann ein komplett neues Zwischenzertifikat austellen? Also mit neuem Schlüsselpaar, oder kann ich auch ein neues mit dem bisherigen Schlüsseln austellen?
2. Das alte Zwischenzertifikat bleibt doch gültig solange ich es nicht wiederrufe oder (Wenn ich neue Schlüssel nehme)?

Gruß Andre
137846
Solution 137846 Dec 05, 2018 updated at 10:45:08 (UTC)
Goto Top
Zitat von @deathman:

Hallo,

Danke erstmal für die Antwort.

Mit Template meinst du doch sicher diese Einstellung oder?

4645.aia-ui1-550x0
Jepp. Aber auch in den Vorlagen kann man festlegen ob Sperrlisteninformationen mit ins Zertifikat übernommen werden, das betrifft dann aber alle Sperrlisten nicht nur Ldap.

screenshot

Leider ist auch im Zwischenzertifikat der Eintrag. Hab damals halt gepennt.

Dazu noch zwei Fragen:
1. Muß ich dann ein komplett neues Zwischenzertifikat austellen? Also mit neuem Schlüsselpaar, oder kann ich auch ein neues mit dem bisherigen Schlüsseln austellen?
Ist egal, so lange du das alte nicht zurückrufst.
2. Das alte Zwischenzertifikat bleibt doch gültig solange ich es nicht wiederrufe oder (Wenn ich neue Schlüssel nehme)?
Jepp.
deathman
deathman Dec 05, 2018 at 14:12:22 (UTC)
Goto Top
Hallo,

Vielen Dank für die Infos. Werde es nächste Woche mal umstellen.

Gruß Andre