4
Zertifikatsverlängerung einer Zertifizierungsstelle
Hallo zusammen.
Ich lerne mich gerade in das Thema PKI ein und habe mir in meiner Testumgebung folgendes installiert:
Offline Stamm-CA unter Windows Server 2012
Untergeordnete Unternehmenszertifizierungsstelle unter Windows Server 2012 (Außerdem ist dies ein DC)
Client-PC
Installation und Ausstellen der ersten Zertifikate hat funktioniert. Jetzt bin ich allerdings auf eine Frage gestoßen, auf die ich noch keine Antwort gefunden habe. Irgendwann muss doch das Zertifizierungstellenzertifikat der Stamm-CA und/oder der untergeordneten CA verlängert werden. Was passiert dann mit den bereits ausgestellten Zertifikaten? Werden diese dann automatisch ungültig und müssen alle neu ausgestellt werden?
Ich lerne mich gerade in das Thema PKI ein und habe mir in meiner Testumgebung folgendes installiert:
Offline Stamm-CA unter Windows Server 2012
Untergeordnete Unternehmenszertifizierungsstelle unter Windows Server 2012 (Außerdem ist dies ein DC)
Client-PC
Installation und Ausstellen der ersten Zertifikate hat funktioniert. Jetzt bin ich allerdings auf eine Frage gestoßen, auf die ich noch keine Antwort gefunden habe. Irgendwann muss doch das Zertifizierungstellenzertifikat der Stamm-CA und/oder der untergeordneten CA verlängert werden. Was passiert dann mit den bereits ausgestellten Zertifikaten? Werden diese dann automatisch ungültig und müssen alle neu ausgestellt werden?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 564786
Url: https://administrator.de/forum/zertifikatsverlaengerung-einer-zertifizierungsstelle-564786.html
Ausgedruckt am: 23.04.2025 um 02:04 Uhr
4 Kommentare
Neuester Kommentar
Hi,
die ausgestellten Zertifikate gelten sowieso nur max. solange, wie die CA-Zertifikate selbst. Eine CA kann kein Zertifikat ausstellen, dessen Ablaufdatum später ist, als das des CA-Zertifikats selbst. D.h. wenn ein CA-Zertifikat abgelaufen ist, dann laufen - spätestens dann - automatisch auch alle damit ausgestellten Zertifikate ab. Von daher müssen also alle diese Zertifikate eh erneuert werden.
Die bereits ausgestellten Zertifikate bleiben aber noch gültig, wenn das CA-Zertifikat schon vor Ablauf dessen erneuert wird. Deswegen muss man das alte, ersetzte Public CA-Zertifikat solange vorhalten und ausrollen, wie damit ausgestellte Zertifikate noch im Gebrauch sind.
E.
die ausgestellten Zertifikate gelten sowieso nur max. solange, wie die CA-Zertifikate selbst. Eine CA kann kein Zertifikat ausstellen, dessen Ablaufdatum später ist, als das des CA-Zertifikats selbst. D.h. wenn ein CA-Zertifikat abgelaufen ist, dann laufen - spätestens dann - automatisch auch alle damit ausgestellten Zertifikate ab. Von daher müssen also alle diese Zertifikate eh erneuert werden.
Die bereits ausgestellten Zertifikate bleiben aber noch gültig, wenn das CA-Zertifikat schon vor Ablauf dessen erneuert wird. Deswegen muss man das alte, ersetzte Public CA-Zertifikat solange vorhalten und ausrollen, wie damit ausgestellte Zertifikate noch im Gebrauch sind.
E.
Moin,
lg,
Slainte
Unternehmenszertifizierungsstelle unter Windows Server 2012 (Außerdem ist dies ein DC)
Tipp aus der Praxis: Installier die SubCA auf einem eigenen Server, der nichts anderes macht. Was passiert dann mit den bereits ausgestellten Zertifikaten? Werden diese dann automatisch ungültig und müssen alle neu ausgestellt werden?
Die (Sub)CA kann keine Zertifikate ausstellen, die über ihren eigenen Gültigkeitszeitraum hinausgehen - damit stellt sich die Frage gar nicht.lg,
Slainte
Danke für die Antworten!
Noch eine Zusatzfrage: Bleiben beim Verlängern die Zertifikatsvorlagen unangetastet?
Noch eine Zusatzfrage: Bleiben beim Verlängern die Zertifikatsvorlagen unangetastet?
Zitat von @broder:
Noch eine Zusatzfrage: Bleiben beim Verlängern die Zertifikatsvorlagen unangetastet?
Ja.Noch eine Zusatzfrage: Bleiben beim Verlängern die Zertifikatsvorlagen unangetastet?
