Hallo zusammen,
wir wollen das Zertifikat der Issuing CA erneuern und befassen uns nun erstmals mit der Thematik. Die Infrastruktur besteht aus einer offline Root CA und der Issuing CA.
Das Zertifikat der Root CA besitzt noch ausreichende Gültigkeit.
Laut Empfehlung soll das Zertifikat nicht verlängert, sondern erneuert werden, da es in der Vergangenheit auch bereits einen Sicherheitsvorfall gab.
Die Verteilung des aktuellen Zertifikats erfolgt per Intune und AIA. Das neue Zertifikat soll über den gleich Weg verteilt werden.
Server: Windows Server 2016
1. Während meiner Recherche bin ich bisher auf keine Stolpersteine/known issues gestoßen, die bei der Erstellung und Verteilung des neuen Zertifikats auftreten können.
Hat hier jemand Erfahrung und kann etwas zu Risiken/known issues sagen, die vorab bedacht werden müssen?
2. Um eine vollständige Verteilung des neuen Zertifikats zu gewährleisten, haben wir die Idee, dieses nach dem Signieren durch die Root CA zunächst auf die Clients zu verteilen und erst dann auf der Issuing CA zu publishen.
Ist dies möglich und ergibt das Vorgehen überhaupt Sinn?
Falls hier noch Informationen fehlen sollten, um meine Fragen beantworten zu können, versuche ich diese so gut es geht nachzuliefern.
Vielen Dank schon einmal für eure Unterstützung :)