Standalone CA in Sub-CA umwandeln (einer neuen RootCA unterstellen)
Hallo zusammen,
in unserer Umgebung wurde irgendwann mal eine, mit dem AD verknüpfte, Certification Authority eingerichtet. Damals hat man das als notwendiges Übel angesehen und eben einfach die Rolle auf einem Server installiert, ohne sich Gedanken den Sinn einer Certificate Chain zu machen. Momentan weden von der CA einige AD-Zertifikate ausgestellt und Server- sowie Clientzertifikate (z.B. für Webserver oder 802.1X).
Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt. Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen? Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?
Falls das technisch so nicht funktioniert - was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?
Grüße und Danke vorab,
JD
in unserer Umgebung wurde irgendwann mal eine, mit dem AD verknüpfte, Certification Authority eingerichtet. Damals hat man das als notwendiges Übel angesehen und eben einfach die Rolle auf einem Server installiert, ohne sich Gedanken den Sinn einer Certificate Chain zu machen. Momentan weden von der CA einige AD-Zertifikate ausgestellt und Server- sowie Clientzertifikate (z.B. für Webserver oder 802.1X).
Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt. Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen? Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?
Falls das technisch so nicht funktioniert - was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?
Grüße und Danke vorab,
JD
Please also mark the comments that contributed to the solution of the article
Content-Key: 471978
Url: https://administrator.de/contentid/471978
Printed on: April 24, 2024 at 14:04 o'clock
2 Comments
Latest comment
Moin,
lg,
Slainte
lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen?
Nein, das geht nicht.was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?
Am besten du baust das von Grund auf neu auf und installierst dann das Zertifikat der Offline CA und der SubCA auf den Clients (oder lässt das durch das AD erledigen)lg,
Slainte
Moin,
Gruß,
Dani
Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen?
Nein.Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?
Ja. Du musst nur sicherstellen, dass solange das Zertifikat, Sperrliste und Deltasperrliste unter dem genannten Pfad erreichbar ist. Wobei ich diese nach und nach - sobald die neue PKI Infrastuktur steht austauschen würde.Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt.
Da bin ich gespannt, welche Gedanken du/ihr euch macht. Gruß,
Dani