Jump to content
Sign in to follow this  
bits

Zertifizierungsstelle Sicherheitsfragen

Recommended Posts

Hola Leutz :)

 

Ich lese gerade im MS-Buch 70-293. Da ist mir ne Frage aufgekommen.

 

Was sind die Risiken und Nebenwirkungen, wenn man (gehen wir davon aus ich habe nur eine Zertifizierungsstelle "Unternehmen") den Zertifikatsserver bzw. die Dienste stoppt? Vorteile? Nachteile? Logo dass da nicht mehr Zertifikate ausgestellt werden..

 

Wie macht Ihr das so? Tips?

 

Zb. über nacht net stop und am morgen wieder net start? :shock:

Share this post


Link to post
Share on other sites

Hi,

 

auf die Schnelle wuerde mir die Datenbankdefragmentierung einfallen und die Verteilung der CRLs / Delta CRLs. Hier muesstest Du sicherlich pruefen, ob das weiterhin nach dem Neustart problemlos klappt.

 

Weiterhin muessen natuerlich die AIAs und CDPs verfuegbar sein - was aber im Normalfall bei der von Dir angesprochenen Enterprise CA ueber die AD der Fall sein sollte.

 

Ist aber im Moment ohne Gewaehr, diese Aussage. ;-)

 

Warum sollte man den Dienst beenden? Gibt es dafuer ein konkretes Anwendungsszeanrio?

 

Viele Gruesse

olc

Share this post


Link to post
Share on other sites

Ach nein, dachte nur so. Da Microsoft als Tip angiebt wenn man PKI - Hierarchie hat, man den Stamm- und Zwischenzertifizierungsstellen offline arbeiten lässt oder herunterfährt, nachdem sie die Zertifikate für ihre untergeordneten Zertifizierungsstellen ausgestell haben. So als Security Tip! Deshalb wollte ich fragen, ob es Sinn macht einen einzelnen PKI-Server ebenfalls so zu verfahren wenn man ihn nicht braucht... ;)

Share this post


Link to post
Share on other sites
Ach nein, dachte nur so. Da Microsoft als Tip angiebt wenn man PKI - Hierarchie hat, man den Stamm- und Zwischenzertifizierungsstellen offline arbeiten lässt oder herunterfährt, nachdem sie die Zertifikate für ihre untergeordneten Zertifizierungsstellen ausgestell haben. So als Security Tip! Deshalb wollte ich fragen, ob es Sinn macht einen einzelnen PKI-Server ebenfalls so zu verfahren wenn man ihn nicht braucht... ;)

 

Hi,

 

dazu würde mir auf die schnelle kein wirklicher Vorteil einfallen - im Gegenteil es könnte u. U. zu Problemen führen wenn Server oder Clients ihre Zertifikate erneuern wollen...

 

@offlineCA: Aufgrund der Virtualisierung sollte das Heute kein Problem mehr sein. Die root CA für mein Netz ist "nur" ne VM die ich auf zwei externe Festplatten gespiegelt sicher aufbewahre...

Share this post


Link to post
Share on other sites

Das habe ich befürchtet das mit dem erneuern. Das ist das Problem beim Unternehmens CA.. :( Naja, ich denke so problematisch ist das ja auch nicht den einfach laufen zu lassen.. :)

 

Danke Euch noch! :)

Share this post


Link to post
Share on other sites

Hi,

 

wenn das Teil einen aktuellen Patchlevel hat und in einer hochsicheren Umgebung vielleicht sogar durche eine Firewall geschützt wird, dann sollte da nichts passieren ;-)

 

Das offline nehmen von CA's ist nur eine Schutzmaßnahme um im Fall der Fälle eine kompromitierte SubCA einfach ersetzten zu können bzw. deren certs sperren zu können...

 

Viele Grüße

Share this post


Link to post
Share on other sites

Guten Abend,

 

wie Johannes schon richtig sagte, ist das Szenario fuer das Offline-nehmen einer Root CA in einer groesseren Struktur etwas vollkommen anderes als die Root- und gleichzeitig ausstellende CA offline zu nehmen. In dem von Dir in Deiner Antwort beschriebenen Szenario also sicherlich kontraproduktiv.

 

Beim Offline-nehmen einer CA solltest Du auch immer (als zusaetzlichen Punkt) im Auge behalten, dass sich Domaenenclients eher schlecht fuer laengere Zeitraeume herunterfahren lassen, ohne dass es zu Problemen kommen wuerde... ;) Aus diesem Grund sind die Offline-CAs auch nicht AD-Member.

 

Viele Gruesse

olc

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...