5
Zwei Windows Zertifizierungsstellen betreiben
Guten Morgen
Gibt es in einer Windows Server Umgebung ein Problem wenn man zwei Zertifizierungsstellen einrichtet mit unterschiedlichen Namen in der Stammzertifizierungsstelle?
Hintergrund ist der, dass es eine sehr alte Umgebung gibt welche nur für SHA1 Zertifikate verwendet wird. Zusätzlich würde ich die Zertifizierungsstelle lieber auf eine eigene VM drauf tun. Nun wäre meine Idee eine zweite zu machen, so dass auch dieses Root Zertifikat automatisch in der Domäne verteilt wird, und nach und nach die alten Zertifikate zu ersetzen bis ich irgendwann die alte Zertifizierungsstelle deinstallieren kann.
Falls nicht, gibt es irgendwie die Möglichkeit ein zweites Root Zertifikat in der bestehenden zu erstellen mit SHA512 so das noch beide vorhanden wären?
Leider habe ich bisher im Internet noch nichts gefunden was mir bei diesem Speziellen Fall helfen könnte. Für mich wäre aber der erste Ansatz eigentlich der säuberste da man so auch gleich Altlasten abbauen kann.
Gruss und Danke
Koda
Gibt es in einer Windows Server Umgebung ein Problem wenn man zwei Zertifizierungsstellen einrichtet mit unterschiedlichen Namen in der Stammzertifizierungsstelle?
Hintergrund ist der, dass es eine sehr alte Umgebung gibt welche nur für SHA1 Zertifikate verwendet wird. Zusätzlich würde ich die Zertifizierungsstelle lieber auf eine eigene VM drauf tun. Nun wäre meine Idee eine zweite zu machen, so dass auch dieses Root Zertifikat automatisch in der Domäne verteilt wird, und nach und nach die alten Zertifikate zu ersetzen bis ich irgendwann die alte Zertifizierungsstelle deinstallieren kann.
Falls nicht, gibt es irgendwie die Möglichkeit ein zweites Root Zertifikat in der bestehenden zu erstellen mit SHA512 so das noch beide vorhanden wären?
Leider habe ich bisher im Internet noch nichts gefunden was mir bei diesem Speziellen Fall helfen könnte. Für mich wäre aber der erste Ansatz eigentlich der säuberste da man so auch gleich Altlasten abbauen kann.
Gruss und Danke
Koda
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 546805
Url: https://administrator.de/contentid/546805
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo Koda,
praktisch dürfte dies kein Problem darstellen, da du schon "naturgemäß" mehr als eine Stammzertifizierungsstelle in (fast) jedem Zertifikatsspeicher hast.
Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
VG,
Christian
certifiedit.net
praktisch dürfte dies kein Problem darstellen, da du schon "naturgemäß" mehr als eine Stammzertifizierungsstelle in (fast) jedem Zertifikatsspeicher hast.
Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
VG,
Christian
certifiedit.net
Hallo Christian
Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?
Genau deshalb möchte ich die alten schnellstmöglich ersetzen. Eine interne Anwendung benötigt jedoch noch die SHA1 welche aber auch bald ersetzt wird. Spätestens dann wird die alte Zertifizierungsstelle deinstalliert.
Gruss
Koda
Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?
Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
Gruss
Koda
Zitat von @KodaCH:
Hallo Christian
Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?
Genau deshalb möchte ich die alten schnellstmöglich ersetzen. Eine interne Anwendung benötigt jedoch noch die SHA1 welche aber auch bald ersetzt wird. Spätestens dann wird die alte Zertifizierungsstelle deinstalliert.
Gruss
Koda
Hallo Christian
Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?
Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
Gruss
Koda
Imho werden Stammzertifikate nie automatisch verteilt. (Kann natürlich sein, dass ich einen Assistenten übersehen hab).
Ggf. wäre dann der Weg "App weg - Stammzert weg" der optimalere - solche Leichen haben oft länger Bestand als gewünscht.
Nur weil die CA ein altes Hashing-Verfahren nutzt muss man sie nicht extra neu aufsetzen, erneuere das ROOT Cert und dann nach und nach die ausgestellten
https://support.symantec.com/us/en/article.TECH246255.html
Eine zweistufige Kombination aus Offline-Root und subordinate CA wäre aber trotzdem anzuraten.
https://blogs.technet.microsoft.com/askds/2015/10/26/sha1-key-migration- ...
Gute Planung bleibt nach wie vor das A und O einer CA Infrastruktur.
https://support.symantec.com/us/en/article.TECH246255.html
Eine zweistufige Kombination aus Offline-Root und subordinate CA wäre aber trotzdem anzuraten.
https://blogs.technet.microsoft.com/askds/2015/10/26/sha1-key-migration- ...
Gute Planung bleibt nach wie vor das A und O einer CA Infrastruktur.
Grundsätzlich ist es ratsam dass das Root des Zertifizierungspfad offline ist und nur verwendet wird um die folgenden Stufen der PKI zu füttern.
Je nach Größe der Organisation kann die PKI drei und mehr Stufen haben.
Das System, was das Root Zertifikat stellt, gehört zu den am besten zu schützenden IT-Systemen überhaupt.
Ich kenne viele große und internationale Unternehmen die hier massive Differenzen haben.
Du kannst mehrere Root-Zertifikate haben. Das ist offiziell supported seitens MS und war zum Ende von SHA1 sehr aktuell.
Dass du immer noch bei SHA1 bist, ist bedenklich.
Je nach Größe der Organisation kann die PKI drei und mehr Stufen haben.
Das System, was das Root Zertifikat stellt, gehört zu den am besten zu schützenden IT-Systemen überhaupt.
Ich kenne viele große und internationale Unternehmen die hier massive Differenzen haben.
Du kannst mehrere Root-Zertifikate haben. Das ist offiziell supported seitens MS und war zum Ende von SHA1 sehr aktuell.
Dass du immer noch bei SHA1 bist, ist bedenklich.
