Standalone CA in Sub-CA umwandeln (einer neuen RootCA unterstellen)
Hallo zusammen,
in unserer Umgebung wurde irgendwann mal eine, mit dem AD verknüpfte, Certification Authority eingerichtet. Damals hat man das als notwendiges Übel angesehen und eben einfach die Rolle auf einem Server installiert, ohne sich Gedanken den Sinn einer Certificate Chain zu machen. Momentan weden von der CA einige AD-Zertifikate ausgestellt und Server- sowie Clientzertifikate (z.B. für Webserver oder 802.1X).
Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt. Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen? Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?
Falls das technisch so nicht funktioniert - was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?
Grüße und Danke vorab,
JD
in unserer Umgebung wurde irgendwann mal eine, mit dem AD verknüpfte, Certification Authority eingerichtet. Damals hat man das als notwendiges Übel angesehen und eben einfach die Rolle auf einem Server installiert, ohne sich Gedanken den Sinn einer Certificate Chain zu machen. Momentan weden von der CA einige AD-Zertifikate ausgestellt und Server- sowie Clientzertifikate (z.B. für Webserver oder 802.1X).
Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt. Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen? Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?
Falls das technisch so nicht funktioniert - was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?
Grüße und Danke vorab,
JD
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 471978
Url: https://administrator.de/forum/standalone-ca-in-sub-ca-umwandeln-einer-neuen-rootca-unterstellen-471978.html
Ausgedruckt am: 20.12.2024 um 06:12 Uhr
2 Kommentare
Neuester Kommentar
Moin,
lg,
Slainte
lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen?
Nein, das geht nicht.was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?
Am besten du baust das von Grund auf neu auf und installierst dann das Zertifikat der Offline CA und der SubCA auf den Clients (oder lässt das durch das AD erledigen)lg,
Slainte
Moin,
Gruß,
Dani
Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen?
Nein.Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?
Ja. Du musst nur sicherstellen, dass solange das Zertifikat, Sperrliste und Deltasperrliste unter dem genannten Pfad erreichbar ist. Wobei ich diese nach und nach - sobald die neue PKI Infrastuktur steht austauschen würde.Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt.
Da bin ich gespannt, welche Gedanken du/ihr euch macht. Gruß,
Dani