tsukaito
Goto Top

Windows CA: Wird der private Key beim Auto-Renewal geändert?

Guten Morgen zusammen,

ich hoffe, alle haben den Crowdstrike-Schock halbwegs gut überstanden und sind nur noch am "Aufräumen der Restleichen".
Ich habe mal eine Frage zum Auto-Renewal von Benutzer-Zertifikaten der Windows CA.

Wir haben eine Windows CA und rollen darüber Encryption Zertifikate für Benutzer aus um internes SMIME abbilden zu können. Das Ganze passiert über das Autoenrollment mittels GPO und Template. Soweit funktioniert das problemlos. Meine Frage ist jetzt folgende:
Wenn 6 Wochen vor Ablauf das Auto-Renewal stattfindet, wird dann ein neuer private und public key erstellt oder verwendet das System den bestehenden private key für das Renewal? Wenn ein neuer private key erstellt wird, dann muss ich die alten Zertifikate beibehlaten, damit wir die damit verschlüsselten Mails noch öffnen können (Keien Angst, KRA ist implementiert). Wenn er den private key beibehält, sollte das egal sein.

Ich finde bei Microsoft keine eindeutige Antwort. Es heißt mal, dass ein neues Paar generiert wird. In einem anderen Artikel wird davon gesrpochen, dass der alte private Key behalten wird und nur eine neuer Request damit an die CA erstellt wird (was ja dann nur den Public Part ändern würde).

Könnt ihr mir bitte hier kurze Schützenhilfe geben.
Parallel versuche ich das gerade mit kurzlebigen Zertifikats-Templates nachzubauen, aber ich würde gerne eine offizielle Aussage haben.

Vielen Dank und guten Start in die Woche.
Viele Grüße
Tsukaito

Content-ID: 91806552305

Url: https://administrator.de/contentid/91806552305

Ausgedruckt am: 23.11.2024 um 12:11 Uhr

13910172396
Lösung 13910172396 22.07.2024 aktualisiert um 12:28:03 Uhr
Goto Top
Hallo,
ob ein Client beim Erneuern den selben Key benutzt oder einen neuen generiert, lässt sich in den Eigenschaften des Zertifikat Templates festlegen.
Per Default wenn im Template keine spezifischen Angaben dazu gemacht werden und keine Policy dafür existiert wird der alte private Key beim Erneuern auf dem Client beibehalten.

Die Einstellungsoptionen dazu lauten:

Renew with the same key (default): The client uses the existing private key to request the renewal of the certificate. This is often used to maintain continuity and avoid the need for reconfiguring systems that depend on the specific key pair.
Renew with a new key: The client generates a new private key and requests the renewal with this new key. This is typically used to enhance security by periodically changing the key pair.

Die Einstellung ist zu finden auf dem "Cryptography" Tab des Templates.

Für ein S/MIME Zertifikat ist natürlich das Beibehalten des private Keys sinnig.

Gruß strods
tsukaito
tsukaito 22.07.2024 um 16:03:16 Uhr
Goto Top
Hallo Strods,

vielen Dank für die schnelle Antwort. Die Option hatte ich in der Zertifikatsvorlage auch gesehen, war aber bei mir ausgegraut. Nach kurzer Recherche hat sich gezeigt, dass ich die Kompatibilität der Zertifikatesvorlage auf Server 2012 umstellen muss, damit das Feature aktiv wird.

Vielen Dank für die Hilfe.
Case closed.

Viele Grüße
Tsukaito