kodach
Goto Top

Zwei Windows Zertifizierungsstellen betreiben

Guten Morgen

Gibt es in einer Windows Server Umgebung ein Problem wenn man zwei Zertifizierungsstellen einrichtet mit unterschiedlichen Namen in der Stammzertifizierungsstelle?

Hintergrund ist der, dass es eine sehr alte Umgebung gibt welche nur für SHA1 Zertifikate verwendet wird. Zusätzlich würde ich die Zertifizierungsstelle lieber auf eine eigene VM drauf tun. Nun wäre meine Idee eine zweite zu machen, so dass auch dieses Root Zertifikat automatisch in der Domäne verteilt wird, und nach und nach die alten Zertifikate zu ersetzen bis ich irgendwann die alte Zertifizierungsstelle deinstallieren kann.

Falls nicht, gibt es irgendwie die Möglichkeit ein zweites Root Zertifikat in der bestehenden zu erstellen mit SHA512 so das noch beide vorhanden wären?

Leider habe ich bisher im Internet noch nichts gefunden was mir bei diesem Speziellen Fall helfen könnte. Für mich wäre aber der erste Ansatz eigentlich der säuberste da man so auch gleich Altlasten abbauen kann.

Gruss und Danke

Koda

Content-ID: 546805

Url: https://administrator.de/forum/zwei-windows-zertifizierungsstellen-betreiben-546805.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

certifiedit.net
Lösung certifiedit.net 13.02.2020 um 09:01:24 Uhr
Goto Top
Hallo Koda,

praktisch dürfte dies kein Problem darstellen, da du schon "naturgemäß" mehr als eine Stammzertifizierungsstelle in (fast) jedem Zertifikatsspeicher hast.

Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.

VG,

Christian
certifiedit.net
KodaCH
KodaCH 13.02.2020 um 09:07:59 Uhr
Goto Top
Hallo Christian

Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?

Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
Genau deshalb möchte ich die alten schnellstmöglich ersetzen. Eine interne Anwendung benötigt jedoch noch die SHA1 welche aber auch bald ersetzt wird. Spätestens dann wird die alte Zertifizierungsstelle deinstalliert.

Gruss

Koda
certifiedit.net
certifiedit.net 13.02.2020 um 09:11:02 Uhr
Goto Top
Zitat von @KodaCH:

Hallo Christian

Dann wäre ich mit dem Vorgehen Neuen Server aufsetzen --> Neue Zertifizierungsstelle mit neuem Namen aufsetzen und nach und nach migrieren auf einem guten weg. Wird das Stammzertifikat auch automatisch verteilt wenn es zwei Zertifizierungsstellen sind?

Allerdings solltest du aufpassen, dass die schwachen Zertifikate nicht deine Struktur insgesamt schwächen.
Genau deshalb möchte ich die alten schnellstmöglich ersetzen. Eine interne Anwendung benötigt jedoch noch die SHA1 welche aber auch bald ersetzt wird. Spätestens dann wird die alte Zertifizierungsstelle deinstalliert.

Gruss

Koda

Imho werden Stammzertifikate nie automatisch verteilt. (Kann natürlich sein, dass ich einen Assistenten übersehen hab).

Ggf. wäre dann der Weg "App weg - Stammzert weg" der optimalere - solche Leichen haben oft länger Bestand als gewünscht.
142970
142970 13.02.2020 aktualisiert um 09:24:34 Uhr
Goto Top
Nur weil die CA ein altes Hashing-Verfahren nutzt muss man sie nicht extra neu aufsetzen, erneuere das ROOT Cert und dann nach und nach die ausgestellten
https://support.symantec.com/us/en/article.TECH246255.html

Eine zweistufige Kombination aus Offline-Root und subordinate CA wäre aber trotzdem anzuraten.
https://blogs.technet.microsoft.com/askds/2015/10/26/sha1-key-migration- ...

Gute Planung bleibt nach wie vor das A und O einer CA Infrastruktur.
142583
142583 13.02.2020 um 12:31:17 Uhr
Goto Top
Grundsätzlich ist es ratsam dass das Root des Zertifizierungspfad offline ist und nur verwendet wird um die folgenden Stufen der PKI zu füttern.

Je nach Größe der Organisation kann die PKI drei und mehr Stufen haben.

Das System, was das Root Zertifikat stellt, gehört zu den am besten zu schützenden IT-Systemen überhaupt.

Ich kenne viele große und internationale Unternehmen die hier massive Differenzen haben.

Du kannst mehrere Root-Zertifikate haben. Das ist offiziell supported seitens MS und war zum Ende von SHA1 sehr aktuell.
Dass du immer noch bei SHA1 bist, ist bedenklich.