4
Änderung an AIA und CDP Settings in einer 2 Stufigen PKI
Guten Tag zusammen,
Ich habe hier eine zweistufige PKI. Ich habe aber leider damals den Fehler gemacht nicht an Geräte zu denken die nicht in unserer Domäne sind.
Die Reihenfolge in den AIA und CDP Setting ist: Lokal(Default),LDAP und dann http://.
Nun habe ich das Problem, das Geräte die von außerhalb der Domäne kommen versuchen die LDAP Adresse aus den Sperrlisten zu erreichen, was sie natürlich nicht können.
Ergo habe ich immer einen Timout für den Eintrag und einige Geräte mögen dies nicht.
Das ganze ist auf der Offline CA und der Austellenden CA so eingestellt. Meine Fragen wäre nun:
1. Kann ich die Einstellung ändern (also LDAP aus der Liste löschen)?
2. Werden dann neue Zertifikate ohne den LDAP Eintrag ausgestellt?
3. Bleiben die alten, die mit ausgestellt wurden gültig?
4. Muss ich das Root und Zwischenzertifikat erneuern?
Hoffe einer weiß Rat.
Vielen Dank und freundliche Grüße
Andre
Ich habe hier eine zweistufige PKI. Ich habe aber leider damals den Fehler gemacht nicht an Geräte zu denken die nicht in unserer Domäne sind.
Die Reihenfolge in den AIA und CDP Setting ist: Lokal(Default),LDAP und dann http://.
Nun habe ich das Problem, das Geräte die von außerhalb der Domäne kommen versuchen die LDAP Adresse aus den Sperrlisten zu erreichen, was sie natürlich nicht können.
Ergo habe ich immer einen Timout für den Eintrag und einige Geräte mögen dies nicht.
Das ganze ist auf der Offline CA und der Austellenden CA so eingestellt. Meine Fragen wäre nun:
1. Kann ich die Einstellung ändern (also LDAP aus der Liste löschen)?
2. Werden dann neue Zertifikate ohne den LDAP Eintrag ausgestellt?
3. Bleiben die alten, die mit ausgestellt wurden gültig?
4. Muss ich das Root und Zwischenzertifikat erneuern?
Hoffe einer weiß Rat.
Vielen Dank und freundliche Grüße
Andre
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 394656
Url: https://administrator.de/contentid/394656
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
4 Kommentare
Neuester Kommentar
Zitat von @deathman:
Das ganze ist auf der Offline CA und der Austellenden CA so eingestellt. Meine Fragen wäre nun:
1. Kann ich die Einstellung ändern (also LDAP aus der Liste löschen)?
Ja, das machst du in den CA Properties deiner CA.Das ganze ist auf der Offline CA und der Austellenden CA so eingestellt. Meine Fragen wäre nun:
1. Kann ich die Einstellung ändern (also LDAP aus der Liste löschen)?
2. Werden dann neue Zertifikate ohne den LDAP Eintrag ausgestellt?
Nur wenn du das Template auch anpasst.Es gilt das was du für die Templates definierte hast, wenn dort kein LDAP Eintrag vorhanden ist wird im neuen Zertifikat auch keiner mehr drin sein.
3. Bleiben die alten, die mit ausgestellt wurden gültig?
Ja, solange du das CA Zertifikat und das Zertifikat nicht als ungültig markierst.4. Muss ich das Root ich das Zwischenzertifikat erneuern?
Nur wenn im Zwischenzertifikat ein LDAP Eintrag ist.
Hallo,
Danke erstmal für die Antwort.
Mit Template meinst du doch sicher diese Einstellung oder?
Leider ist auch im Zwischenzertifikat der Eintrag. Hab damals halt gepennt.
Dazu noch zwei Fragen:
1. Muß ich dann ein komplett neues Zwischenzertifikat austellen? Also mit neuem Schlüsselpaar, oder kann ich auch ein neues mit dem bisherigen Schlüsseln austellen?
2. Das alte Zwischenzertifikat bleibt doch gültig solange ich es nicht wiederrufe oder (Wenn ich neue Schlüssel nehme)?
Gruß Andre
Danke erstmal für die Antwort.
Mit Template meinst du doch sicher diese Einstellung oder?
Leider ist auch im Zwischenzertifikat der Eintrag. Hab damals halt gepennt.
Dazu noch zwei Fragen:
1. Muß ich dann ein komplett neues Zwischenzertifikat austellen? Also mit neuem Schlüsselpaar, oder kann ich auch ein neues mit dem bisherigen Schlüsseln austellen?
2. Das alte Zwischenzertifikat bleibt doch gültig solange ich es nicht wiederrufe oder (Wenn ich neue Schlüssel nehme)?
Gruß Andre
Zitat von @deathman:
Hallo,
Danke erstmal für die Antwort.
Mit Template meinst du doch sicher diese Einstellung oder?
Jepp. Aber auch in den Vorlagen kann man festlegen ob Sperrlisteninformationen mit ins Zertifikat übernommen werden, das betrifft dann aber alle Sperrlisten nicht nur Ldap.Hallo,
Danke erstmal für die Antwort.
Mit Template meinst du doch sicher diese Einstellung oder?
Leider ist auch im Zwischenzertifikat der Eintrag. Hab damals halt gepennt.
Dazu noch zwei Fragen:
1. Muß ich dann ein komplett neues Zwischenzertifikat austellen? Also mit neuem Schlüsselpaar, oder kann ich auch ein neues mit dem bisherigen Schlüsseln austellen?
Ist egal, so lange du das alte nicht zurückrufst.Dazu noch zwei Fragen:
1. Muß ich dann ein komplett neues Zwischenzertifikat austellen? Also mit neuem Schlüsselpaar, oder kann ich auch ein neues mit dem bisherigen Schlüsseln austellen?
2. Das alte Zwischenzertifikat bleibt doch gültig solange ich es nicht wiederrufe oder (Wenn ich neue Schlüssel nehme)?
Jepp.
Hallo,
Vielen Dank für die Infos. Werde es nächste Woche mal umstellen.
Gruß Andre
Vielen Dank für die Infos. Werde es nächste Woche mal umstellen.
Gruß Andre
