Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zwei Windows Zertifizierungsstellen betreiben

Mitglied: KodaCH

KodaCH (Level 1) - Jetzt verbinden

13.02.2020 um 08:55 Uhr, 238 Aufrufe, 5 Kommentare

Guten Morgen

Gibt es in einer Windows Server Umgebung ein Problem wenn man zwei Zertifizierungsstellen einrichtet mit unterschiedlichen Namen in der Stammzertifizierungsstelle?

Hintergrund ist der, dass es eine sehr alte Umgebung gibt welche nur für SHA1 Zertifikate verwendet wird. Zusätzlich würde ich die Zertifizierungsstelle lieber auf eine eigene VM drauf tun. Nun wäre meine Idee eine zweite zu machen, so dass auch dieses Root Zertifikat automatisch in der Domäne verteilt wird, und nach und nach die alten Zertifikate zu ersetzen bis ich irgendwann die alte Zertifizierungsstelle deinstallieren kann.

Falls nicht, gibt es irgendwie die Möglichkeit ein zweites Root Zertifikat in der bestehenden zu erstellen mit SHA512 so das noch beide vorhanden wären?

Leider habe ich bisher im Internet noch nichts gefunden was mir bei diesem Speziellen Fall helfen könnte. Für mich wäre aber der erste Ansatz eigentlich der säuberste da man so auch gleich Altlasten abbauen kann.

Gruss und Danke

Koda
Mitglied: certifiedit.net
LÖSUNG 13.02.2020 um 09:01 Uhr
Hallo Koda,

praktisch dürfte dies kein Problem darstellen, da du schon "naturgemäß" mehr als eine Stammzertifizierungsstelle in (fast) jedem Zertifikatsspeicher hast.

Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.

VG,

Christian
certifiedit.net
Bitte warten ..
Mitglied: KodaCH
13.02.2020 um 09:07 Uhr
Hallo Christian

Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?

>>Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
Genau deshalb möchte ich die alten schnellstmöglich ersetzen. Eine interne Anwendung benötigt jedoch noch die SHA1 welche aber auch bald ersetzt wird. Spätestens dann wird die alte Zertifizierungsstelle deinstalliert.

Gruss

Koda
Bitte warten ..
Mitglied: certifiedit.net
13.02.2020 um 09:11 Uhr
Zitat von KodaCH:

Hallo Christian

Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?

>>>Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
Genau deshalb möchte ich die alten schnellstmöglich ersetzen. Eine interne Anwendung benötigt jedoch noch die SHA1 welche aber auch bald ersetzt wird. Spätestens dann wird die alte Zertifizierungsstelle deinstalliert.

Gruss

Koda

Imho werden Stammzertifikate nie automatisch verteilt. (Kann natürlich sein, dass ich einen Assistenten übersehen hab).

Ggf. wäre dann der Weg "App weg - Stammzert weg" der optimalere - solche Leichen haben oft länger Bestand als gewünscht.
Bitte warten ..
Mitglied: 142970
13.02.2020, aktualisiert um 09:24 Uhr
Nur weil die CA ein altes Hashing-Verfahren nutzt muss man sie nicht extra neu aufsetzen, erneuere das ROOT Cert und dann nach und nach die ausgestellten
https://support.symantec.com/us/en/article.TECH246255.html

Eine zweistufige Kombination aus Offline-Root und subordinate CA wäre aber trotzdem anzuraten.
https://blogs.technet.microsoft.com/askds/2015/10/26/sha1-key-migration- ...

Gute Planung bleibt nach wie vor das A und O einer CA Infrastruktur.
Bitte warten ..
Mitglied: IT-Prof
13.02.2020 um 12:31 Uhr
Grundsätzlich ist es ratsam dass das Root des Zertifizierungspfad offline ist und nur verwendet wird um die folgenden Stufen der PKI zu füttern.

Je nach Größe der Organisation kann die PKI drei und mehr Stufen haben.

Das System, was das Root Zertifikat stellt, gehört zu den am besten zu schützenden IT-Systemen überhaupt.

Ich kenne viele große und internationale Unternehmen die hier massive Differenzen haben.

Du kannst mehrere Root-Zertifikate haben. Das ist offiziell supported seitens MS und war zum Ende von SHA1 sehr aktuell.
Dass du immer noch bei SHA1 bist, ist bedenklich.
Bitte warten ..
Ähnliche Inhalte
Firewall

Firewall für kleinen Betreib gesucht

gelöst Frage von MacLifeFirewall4 Kommentare

Moin moin, ich suche für unseren Betreib eine Firewall, die nicht all zu kompliziert ist. Wir benötigen VPN für ...

Windows Installation

Zwei Windows Installationen pysikalisch trennen

gelöst Frage von schicksalWindows Installation11 Kommentare

Hallo zusammen, ich will zwei Windows Installationen (Getrennte Festplatten) gegeneinander unsichtbar trennen. Kann man die mit einem Bootmanager ausblenden. ...

Router & Routing

Zwei Switches, zwei VLANs

gelöst Frage von SonneLachtRouter & Routing13 Kommentare

Hallo, ich habe hier eine verzwickte Situation. Ich habe zwei WAN-Anbindungen, jeweils Erstweg und Zweitweg, macht also vier WAN-Router. ...

SAN, NAS, DAS

Dasselbe LUN an zwei Windows-Servern

Frage von beowulf1980SAN, NAS, DAS4 Kommentare

Hallo zusammen, ich probiere gerade mein Wissen im Storagebereich zu erweitern und bin auf folgendes Problem gestoßen. Ich habe ...

Neue Wissensbeiträge
Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 25 MinutenHumor (lol)2 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 9 StundenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 22 StundenMicrosoft Office8 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 1 TagNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Heiß diskutierte Inhalte
Windows Server
Active Directory: Fehler beim Re-Promoten eines Servers
Frage von jordelWindows Server38 Kommentare

Hallo zusammen, Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten ...

PHP
Dynamisches Array erstellen in PHP
Frage von Xaero1982PHP21 Kommentare

Moin Zusammen, ich bräuchte mal einen Geistesblitz. Ich habe ganz viele Daten in einer MongoDb. Ich möchte diese Daten ...

Microsoft Office
Welches MS Office Lizensmodell für 7 Arbeitsplätze in kleinen Unternehmen
Frage von harbyadmMicrosoft Office20 Kommentare

Hallo, Ich frage Euch welches Lizensmodell das günstigste ist.? ich benötige für z.Zeit 7 ARBEITSPLÄTZE , alles Windows 8-10, ...

Windows 8
Die digitale Signatur dieser Datei kann nicht überprüft werden
Frage von LochkartenstanzerWindows 819 Kommentare

Moin, Seit gestern ärgere ich mich mit einem verkorksten Windows 8 herum. Bei vielen EXE-Dateien starten will, kommt die ...