Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Standalone CA in Sub-CA umwandeln (einer neuen RootCA unterstellen)

Mitglied: JohnDorian

JohnDorian (Level 2) - Jetzt verbinden

11.07.2019 um 10:39 Uhr, 509 Aufrufe, 2 Kommentare

Hallo zusammen,

in unserer Umgebung wurde irgendwann mal eine, mit dem AD verknüpfte, Certification Authority eingerichtet. Damals hat man das als notwendiges Übel angesehen und eben einfach die Rolle auf einem Server installiert, ohne sich Gedanken den Sinn einer Certificate Chain zu machen. Momentan weden von der CA einige AD-Zertifikate ausgestellt und Server- sowie Clientzertifikate (z.B. für Webserver oder 802.1X).

Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt. Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen? Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?

Falls das technisch so nicht funktioniert - was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?

Grüße und Danke vorab,

JD
Mitglied: SlainteMhath
11.07.2019 um 10:44 Uhr
Moin,

lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen?
Nein, das geht nicht.

was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?
Am besten du baust das von Grund auf neu auf und installierst dann das Zertifikat der Offline CA und der SubCA auf den Clients (oder lässt das durch das AD erledigen)

lg,
Slainte
Bitte warten ..
Mitglied: Dani
12.07.2019 um 11:51 Uhr
Moin,
Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen?
Nein.

Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?
Ja. Du musst nur sicherstellen, dass solange das Zertifikat, Sperrliste und Deltasperrliste unter dem genannten Pfad erreichbar ist. Wobei ich diese nach und nach - sobald die neue PKI Infrastuktur steht austauschen würde.

Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt.
Da bin ich gespannt, welche Gedanken du/ihr euch macht.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Internet Domänen
Sub-sub-Domain in htaccess umleiten
gelöst Frage von GruenspechtInternet Domänen4 Kommentare

Hallo zusammen, irgendwie hänge ich bei einem .htaccess-Problem fest. Ich habe eine Domain, die über die URL erreichbar ist. ...

Microsoft Office

Excel Marko "private sub" bearbeiten

gelöst Frage von ArnoNymousMicrosoft Office2 Kommentare

Hallo, ich stehe auf dem Schlauch. Habe hier eine Exceltabelle mit einem Makro, dass mittels "private sub" nicht sichtbar ...

Verschlüsselung & Zertifikate

Alternative CA

Frage von joergVerschlüsselung & Zertifikate4 Kommentare

Hallo zusammen, wir sind gerade auf der Suche nach einer alternativen CA-Lösung zu der Microsoft CA. Kann mir da ...

LAN, WAN, Wireless

Kein DHCP-Relay am Sub-Switch HP

gelöst Frage von westberlinerLAN, WAN, Wireless20 Kommentare

Hallo, ich habe hier eine Sterntopologie am Laufen. Core-Switch Access-Switch Wlan-AP/Clients/Endgeräte Nun habe ich das Problem: Am Core-Switch funktioniert ...

Neue Wissensbeiträge
Exchange Server

Exchange Server 2016 and the End of Mainstream Support

Information von Dani vor 6 StundenExchange Server

As hopefully many of you already know Exchange Server 2016 enters the Extended Support phase of its product lifecycle ...

Viren und Trojaner

Schwachstelle in Teamviewer oder aufgeflogene Backdoor?

Information von magicteddy vor 1 TagViren und Trojaner

Moin, die Interpretation überlasse ich jedem selber, ich habe eine deutliche Abneigung dagegen. Wer es nutzen muss sollte schleunigst ...

Sicherheit

Eine ungepatchte Sicherheitslücke in der Windows Druckerwarteschlange ermöglicht das Ausführen von Malware mit Adminrechten

Information von transocean vor 3 TagenSicherheit

Moin, eigentlich sollte die Sicherheitslücke schon seit Mai 2020 geschlossen sein. Aber lest selbst. Grüße Uwe

Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 5 TagenErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Heiß diskutierte Inhalte
Internet
VPN und Fritzbox
Frage von jensgebkenInternet29 Kommentare

Hallo Gemeinschaft, da der Support von AVM mir keine Antwort gibt, versuche ich es hier einmal HArdware 7490 zwei ...

Sicherheit
Verschlüsseln anstatt löschen ?
Frage von TastuserSicherheit17 Kommentare

Hallo, ist es möglich ganze Ordner auf Windows 10 zu verschlüsseln? Aber keine Kopien zu verschlüsseln (wie mit WinRAR) ...

Switche und Hubs
Neue Switches für Schule
Frage von Freak-On-SiliconSwitche und Hubs13 Kommentare

Servus; Eins Vorweg, bin leider in vielen Sachen noch nicht so erfahren. Und nein, ich kann LEIDER keinen Dienstleister ...

Windows 10
Bildschirmschoner startet zu früh, trotz korrekter GPO
Frage von toddehbWindows 1011 Kommentare

Hi, habe für einen Kollegen gerade ein neues Dell 7410 Laptop eingerichtet. Wie alle anderen Nutzer auch, bekommt er ...

Weniger Werbung?
Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...