bits 10 Posted February 6, 2008 Report Posted February 6, 2008 Hola Leutz :) Ich lese gerade im MS-Buch 70-293. Da ist mir ne Frage aufgekommen. Was sind die Risiken und Nebenwirkungen, wenn man (gehen wir davon aus ich habe nur eine Zertifizierungsstelle "Unternehmen") den Zertifikatsserver bzw. die Dienste stoppt? Vorteile? Nachteile? Logo dass da nicht mehr Zertifikate ausgestellt werden.. Wie macht Ihr das so? Tips? Zb. über nacht net stop und am morgen wieder net start? :shock: Quote
olc 18 Posted February 6, 2008 Report Posted February 6, 2008 Hi, auf die Schnelle wuerde mir die Datenbankdefragmentierung einfallen und die Verteilung der CRLs / Delta CRLs. Hier muesstest Du sicherlich pruefen, ob das weiterhin nach dem Neustart problemlos klappt. Weiterhin muessen natuerlich die AIAs und CDPs verfuegbar sein - was aber im Normalfall bei der von Dir angesprochenen Enterprise CA ueber die AD der Fall sein sollte. Ist aber im Moment ohne Gewaehr, diese Aussage. ;-) Warum sollte man den Dienst beenden? Gibt es dafuer ein konkretes Anwendungsszeanrio? Viele Gruesse olc Quote
bits 10 Posted February 6, 2008 Author Report Posted February 6, 2008 Ach nein, dachte nur so. Da Microsoft als Tip angiebt wenn man PKI - Hierarchie hat, man den Stamm- und Zwischenzertifizierungsstellen offline arbeiten lässt oder herunterfährt, nachdem sie die Zertifikate für ihre untergeordneten Zertifizierungsstellen ausgestell haben. So als Security Tip! Deshalb wollte ich fragen, ob es Sinn macht einen einzelnen PKI-Server ebenfalls so zu verfahren wenn man ihn nicht braucht... ;) Quote
nerd 28 Posted February 6, 2008 Report Posted February 6, 2008 Ach nein, dachte nur so. Da Microsoft als Tip angiebt wenn man PKI - Hierarchie hat, man den Stamm- und Zwischenzertifizierungsstellen offline arbeiten lässt oder herunterfährt, nachdem sie die Zertifikate für ihre untergeordneten Zertifizierungsstellen ausgestell haben. So als Security Tip! Deshalb wollte ich fragen, ob es Sinn macht einen einzelnen PKI-Server ebenfalls so zu verfahren wenn man ihn nicht braucht... ;) Hi, dazu würde mir auf die schnelle kein wirklicher Vorteil einfallen - im Gegenteil es könnte u. U. zu Problemen führen wenn Server oder Clients ihre Zertifikate erneuern wollen... @offlineCA: Aufgrund der Virtualisierung sollte das Heute kein Problem mehr sein. Die root CA für mein Netz ist "nur" ne VM die ich auf zwei externe Festplatten gespiegelt sicher aufbewahre... Quote
bits 10 Posted February 6, 2008 Author Report Posted February 6, 2008 Das habe ich befürchtet das mit dem erneuern. Das ist das Problem beim Unternehmens CA.. :( Naja, ich denke so problematisch ist das ja auch nicht den einfach laufen zu lassen.. :) Danke Euch noch! :) Quote
nerd 28 Posted February 7, 2008 Report Posted February 7, 2008 Hi, wenn das Teil einen aktuellen Patchlevel hat und in einer hochsicheren Umgebung vielleicht sogar durche eine Firewall geschützt wird, dann sollte da nichts passieren ;-) Das offline nehmen von CA's ist nur eine Schutzmaßnahme um im Fall der Fälle eine kompromitierte SubCA einfach ersetzten zu können bzw. deren certs sperren zu können... Viele Grüße Quote
bits 10 Posted February 7, 2008 Author Report Posted February 7, 2008 Oke, danke auch dir.. Demfall bin ich sorglos.. ;) Quote
olc 18 Posted February 7, 2008 Report Posted February 7, 2008 Guten Abend, wie Johannes schon richtig sagte, ist das Szenario fuer das Offline-nehmen einer Root CA in einer groesseren Struktur etwas vollkommen anderes als die Root- und gleichzeitig ausstellende CA offline zu nehmen. In dem von Dir in Deiner Antwort beschriebenen Szenario also sicherlich kontraproduktiv. Beim Offline-nehmen einer CA solltest Du auch immer (als zusaetzlichen Punkt) im Auge behalten, dass sich Domaenenclients eher schlecht fuer laengere Zeitraeume herunterfahren lassen, ohne dass es zu Problemen kommen wuerde... ;) Aus diesem Grund sind die Offline-CAs auch nicht AD-Member. Viele Gruesse olc Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.