deprecated

Das hatte ich nicht bedacht, das würde dann auf jeden Fall dagegen sprechen. Das heißt, es können nach dem Erstellen des neuen Zertifikats auch weiterhin Zertifikate von der alten CA ausgestellt werden? Ja das stimmt. Das Zitat ist auch weiterhin vertrauenswürdig. Wir wollen nur auf Nummer sicher gehen. Das alte Zertifikat soll nach Verteilung des neuen Zertifikats revoked werden. u.a. https://www.sysadmins.lv/blog-en/root-ca-certificate-renewal.aspx Da es sonst zu Problemen mit der Zertifikatskette kommen kann. Das war wohl etwas unglücklich ausgedrückt. Ich meine mit "Erneuern" die Generierung eines neuen Keys. Wir wollen einen neuen Key generieren und nicht den alten weiter verwenden. Die Speicherorte sollten schnell genug aktualisiert werden. Das werde ich mir aber sicherheitshalber nochmal genauer anschauen. So gravierend war der Vorfall zum Glück nicht :) Danke euch für eure Antworten :)

Hallo zusammen, wir wollen das Zertifikat der Issuing CA erneuern und befassen uns nun erstmals mit der Thematik. Die Infrastruktur besteht aus einer offline Root CA und der Issuing CA. Das Zertifikat der Root CA besitzt noch ausreichende Gültigkeit. Laut Empfehlung soll das Zertifikat nicht verlängert, sondern erneuert werden, da es in der Vergangenheit auch bereits einen Sicherheitsvorfall gab. Die Verteilung des aktuellen Zertifikats erfolgt per Intune und AIA. Das neue Zertifikat soll über den gleich Weg verteilt werden. Server: Windows Server 2016 1. Während meiner Recherche bin ich bisher auf keine Stolpersteine/known issues gestoßen, die bei der Erstellung und Verteilung des neuen Zertifikats auftreten können. Hat hier jemand Erfahrung und kann etwas zu Risiken/known issues sagen, die vorab bedacht werden müssen? 2. Um eine vollständige Verteilung des neuen Zertifikats zu gewährleisten, haben wir die Idee, dieses nach dem Signieren durch die Root CA zunächst auf die Clients zu verteilen und erst dann auf der Issuing CA zu publishen. Ist dies möglich und ergibt das Vorgehen überhaupt Sinn? Falls hier noch Informationen fehlen sollten, um meine Fragen beantworten zu können, versuche ich diese so gut es geht nachzuliefern. Vielen Dank schon einmal für eure Unterstützung :)