Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Standalone CA in Sub-CA umwandeln (einer neuen RootCA unterstellen)

Mitglied: JohnDorian

JohnDorian (Level 2) - Jetzt verbinden

11.07.2019 um 10:39 Uhr, 274 Aufrufe, 2 Kommentare

Hallo zusammen,

in unserer Umgebung wurde irgendwann mal eine, mit dem AD verknüpfte, Certification Authority eingerichtet. Damals hat man das als notwendiges Übel angesehen und eben einfach die Rolle auf einem Server installiert, ohne sich Gedanken den Sinn einer Certificate Chain zu machen. Momentan weden von der CA einige AD-Zertifikate ausgestellt und Server- sowie Clientzertifikate (z.B. für Webserver oder 802.1X).

Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt. Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen? Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?

Falls das technisch so nicht funktioniert - was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?

Grüße und Danke vorab,

JD
Mitglied: SlainteMhath
11.07.2019 um 10:44 Uhr
Moin,

lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen?
Nein, das geht nicht.

was wäre ein gangbarer Weg, um eine saubere Zertifizierungskette nachträglich in die Umgebung zu integrieren?
Am besten du baust das von Grund auf neu auf und installierst dann das Zertifikat der Offline CA und der SubCA auf den Clients (oder lässt das durch das AD erledigen)

lg,
Slainte
Bitte warten ..
Mitglied: Dani
12.07.2019 um 11:51 Uhr
Moin,
Frage: lässt sich der vorhandenen CA nachträglich eine Root-CA überordnen?
Nein.

Und (falls das überhaupt möglich wäre) was passiert dann mit den vorhandenen Zertifikaten? Bleiben diese gültig?
Ja. Du musst nur sicherstellen, dass solange das Zertifikat, Sperrliste und Deltasperrliste unter dem genannten Pfad erreichbar ist. Wobei ich diese nach und nach - sobald die neue PKI Infrastuktur steht austauschen würde.

Es wäre ja nun deutlich sinniger, wenn man eine offline Root-CA hätte, welche die Echtheit einer Sub-CA garantiert, die wiederum die Zertifikate für Clients und Server ausstellt.
Da bin ich gespannt, welche Gedanken du/ihr euch macht.


Gruß,
Dani
Bitte warten ..
Ähnliche Inhalte
Internet Domänen
Sub-sub-Domain in htaccess umleiten
gelöst Frage von GruenspechtInternet Domänen4 Kommentare

Hallo zusammen, irgendwie hänge ich bei einem .htaccess-Problem fest. Ich habe eine Domain, die über die URL erreichbar ist. ...

Microsoft Office

Excel Marko "private sub" bearbeiten

gelöst Frage von ArnoNymousMicrosoft Office2 Kommentare

Hallo, ich stehe auf dem Schlauch. Habe hier eine Exceltabelle mit einem Makro, dass mittels "private sub" nicht sichtbar ...

LAN, WAN, Wireless

Sub-Netze mit unterschiedlicher Subnetzmaske bilden

gelöst Frage von sunny4711LAN, WAN, Wireless5 Kommentare

Ich suche den Lösungsweg für folgende Aufgabe. In der Lösung werden zwei unterschiedliche Subnetzmasken verwendet. Kann mir jemand erklären ...

LAN, WAN, Wireless

Kein DHCP-Relay am Sub-Switch HP

gelöst Frage von westberlinerLAN, WAN, Wireless20 Kommentare

Hallo, ich habe hier eine Sterntopologie am Laufen. Core-Switch Access-Switch Wlan-AP/Clients/Endgeräte Nun habe ich das Problem: Am Core-Switch funktioniert ...

Neue Wissensbeiträge
Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 23 StundenBackup

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 2 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 2 TagenSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Batch & Shell
PowerShell Konferenz - Videos online
Information von NetzwerkDude vor 3 TagenBatch & Shell

Abend, die Tage werden Videos der Talks von der diesjährigen EU Powershell Konferenz hochgeladen, sind einige Interessante dabei: MFG ...

Heiß diskutierte Inhalte
Google Android
Anbieter für Diensthandys
Frage von Pat.batGoogle Android24 Kommentare

Hallo zusammen, ich bin seit einiger Zeit zuständig für die Diensthandys bei uns in der Behörde. Eine Management Software ...

Windows Server
Windows Server 2016 einrichten
Frage von borjiaWindows Server20 Kommentare

Ich würde gerne einen Server einrichten, erstmal nur mit DNS und AD. Habe mich die letzten Wochen durch diverse ...

Exchange Server
Vorgehen um von Tobit auf Exchange zu wechseln
Frage von Martin1987Exchange Server17 Kommentare

Guten Abend Ich habe den Auftrag erhalten, unser Mail von David zu Outlook zu wechseln. Wie muss ich da ...

Microsoft Office
Office 365 eMail via Website verschicken
Frage von BiBeSoMicrosoft Office16 Kommentare

Hallo, kann man im Office 365 eMails anlegen welche zum versenden (smtp) für die Website funktionieren ? Muss man ...