deprecated

vor 51 Minuten schrieb NorbertFe:

Afaik ist die dann aber solange offline.

Das hatte ich nicht bedacht, das würde dann auf jeden Fall dagegen sprechen.

vor 52 Minuten schrieb NorbertFe:

Nö, es sei denn ihr stellt sofort Zertifikate basierend auf dem neuen CA Zert aus. Was eher unwahrscheinlich ist, aber dann wäre es relevant, dass die Geräte/User auf die mit solchen Zertifikaten abgesicherten Dienste das neue Intermediate schon kennen.

Das heißt, es können nach dem Erstellen des neuen Zertifikats auch weiterhin Zertifikate von der alten CA ausgestellt werden?

vor 52 Minuten schrieb NorbertFe:

Man mag mich jetzt paranoid nennen, aber genau dafür hat man doch dann die Rückrufoption. Wenn also euer CA Zert _als nicht vertrauenswürdig_ gilt? ;)

Ja das stimmt. Das Zitat ist auch weiterhin vertrauenswürdig. Wir wollen nur auf Nummer sicher gehen. Das alte Zertifikat soll nach Verteilung des neuen Zertifikats revoked werden.

vor 44 Minuten schrieb cj_berlin:

Empfehlung von wem?

u.a. https://www.sysadmins.lv/blog-en/root-ca-certificate-renewal.aspx
Da es sonst zu Problemen mit der Zertifikatskette kommen kann.

vor 50 Minuten schrieb cj_berlin:

Was ist in eurem Sprech der Unterschied zwischen "erneuern" und "verlängern"? Man kann ein Zertifikat nicht "verlängern", denn das Start- und Ablaufdatum sind Teil seiner Identität. Vermutlich geht es also darum, einen neuen Private Key zu generieren oder den bestehenden weiter zu verwenden - richtig?

Sofern eure AIA- und CDP-Speicherorte hinreichend schnell aktualisiert werden, braucht ihr euch m.E. keine Sorgen zu machen, denn das vorherige Zertifikat wird ja nicht ungültig.

Das war wohl etwas unglücklich ausgedrückt. Ich meine mit "Erneuern" die Generierung eines neuen Keys. Wir wollen einen neuen Key generieren und nicht den alten weiter verwenden.

Die Speicherorte sollten schnell genug aktualisiert werden. Das werde ich mir aber sicherheitshalber nochmal genauer anschauen.

vor 52 Minuten schrieb cj_berlin:

Anders freilich liegt der Fall, wenn ihr anlässlich der Maßnahme die Issuing CA tatsächlich zurückrufen wollt, weil es da diesen Sicherheitsvorfall gab,. Dann würde ich aber einfach eine neue bauen und wenn die alle kennen, die es sollen, die alte ordentlich abmanagen.

So gravierend war der Vorfall zum Glück nicht :)

Danke euch für eure Antworten :)

Hallo zusammen,

wir wollen das Zertifikat der Issuing CA erneuern und befassen uns nun erstmals mit der Thematik. Die Infrastruktur besteht aus einer offline Root CA und der Issuing CA.

Das Zertifikat der Root CA besitzt noch ausreichende Gültigkeit.

Laut Empfehlung soll das Zertifikat nicht verlängert, sondern erneuert werden, da es in der Vergangenheit auch bereits einen Sicherheitsvorfall gab.

Die Verteilung des aktuellen Zertifikats erfolgt per Intune und AIA. Das neue Zertifikat soll über den gleich Weg verteilt werden.

Server: Windows Server 2016

1. Während meiner Recherche bin ich bisher auf keine Stolpersteine/known issues gestoßen, die bei der Erstellung und Verteilung des neuen Zertifikats auftreten können.

    Hat hier jemand Erfahrung und kann etwas zu Risiken/known issues sagen, die vorab bedacht werden müssen?

2. Um eine vollständige Verteilung des neuen Zertifikats zu gewährleisten, haben wir die Idee, dieses nach dem Signieren durch die Root CA zunächst auf die Clients zu verteilen und erst dann auf der Issuing CA zu publishen.

    Ist dies möglich und ergibt das Vorgehen überhaupt Sinn? 

Falls hier noch Informationen fehlen sollten, um meine Fragen beantworten zu können, versuche ich diese so gut es geht nachzuliefern.

Vielen Dank schon einmal für eure Unterstützung :)