johndorian
Goto Top

Standalone CA in Sub-CA umwandeln (einer neuen RootCA unterstellen)

Hallo zusammen,

in unserer Umgebung wurde irgendwann mal eine, mit dem AD verknüpfte, Certification Authority eingerichtet. Damals hat man das als notwendiges Übel angesehen und eben einfach die Rolle auf einem Server installiert, ohne sich Gedanken den Sinn einer Certificate Chain zu machen. Momentan weden von der CA einige AD-Zertifikate ausgestellt und Server- sowie Clientzertifikate (z.B. für Webserver oder 802.1X).

Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt. Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen? Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?

Falls das technisch so nicht funktioniert - was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?

Grüße und Danke vorab,

JD

Content-ID: 471978

Url: https://administrator.de/forum/standalone-ca-in-sub-ca-umwandeln-einer-neuen-rootca-unterstellen-471978.html

Ausgedruckt am: 20.12.2024 um 06:12 Uhr

SlainteMhath
SlainteMhath 11.07.2019 um 10:44:15 Uhr
Goto Top
Moin,

lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen?
Nein, das geht nicht.

was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?
Am besten du baust das von Grund auf neu auf und installierst dann das Zertifikat der Offline CA und der SubCA auf den Clients (oder lässt das durch das AD erledigen)

lg,
Slainte
Dani
Dani 12.07.2019 um 11:51:32 Uhr
Goto Top
Moin,
Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen?
Nein.

Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?
Ja. Du musst nur sicherstellen, dass solange das Zertifikat, Sperrliste und Deltasperrliste unter dem genannten Pfad erreichbar ist. Wobei ich diese nach und nach - sobald die neue PKI Infrastuktur steht austauschen würde.

Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt.
Da bin ich gespannt, welche Gedanken du/ihr euch macht. face-smile


Gruß,
Dani