Jump to content

Zertifizierungsstelle Sicherheitsfragen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hola Leutz :)

 

Ich lese gerade im MS-Buch 70-293. Da ist mir ne Frage aufgekommen.

 

Was sind die Risiken und Nebenwirkungen, wenn man (gehen wir davon aus ich habe nur eine Zertifizierungsstelle "Unternehmen") den Zertifikatsserver bzw. die Dienste stoppt? Vorteile? Nachteile? Logo dass da nicht mehr Zertifikate ausgestellt werden..

 

Wie macht Ihr das so? Tips?

 

Zb. über nacht net stop und am morgen wieder net start? :shock:

Link zu diesem Kommentar

Hi,

 

auf die Schnelle wuerde mir die Datenbankdefragmentierung einfallen und die Verteilung der CRLs / Delta CRLs. Hier muesstest Du sicherlich pruefen, ob das weiterhin nach dem Neustart problemlos klappt.

 

Weiterhin muessen natuerlich die AIAs und CDPs verfuegbar sein - was aber im Normalfall bei der von Dir angesprochenen Enterprise CA ueber die AD der Fall sein sollte.

 

Ist aber im Moment ohne Gewaehr, diese Aussage. ;-)

 

Warum sollte man den Dienst beenden? Gibt es dafuer ein konkretes Anwendungsszeanrio?

 

Viele Gruesse

olc

Link zu diesem Kommentar

Ach nein, dachte nur so. Da Microsoft als Tip angiebt wenn man PKI - Hierarchie hat, man den Stamm- und Zwischenzertifizierungsstellen offline arbeiten lässt oder herunterfährt, nachdem sie die Zertifikate für ihre untergeordneten Zertifizierungsstellen ausgestell haben. So als Security Tip! Deshalb wollte ich fragen, ob es Sinn macht einen einzelnen PKI-Server ebenfalls so zu verfahren wenn man ihn nicht braucht... ;)

Link zu diesem Kommentar
Ach nein, dachte nur so. Da Microsoft als Tip angiebt wenn man PKI - Hierarchie hat, man den Stamm- und Zwischenzertifizierungsstellen offline arbeiten lässt oder herunterfährt, nachdem sie die Zertifikate für ihre untergeordneten Zertifizierungsstellen ausgestell haben. So als Security Tip! Deshalb wollte ich fragen, ob es Sinn macht einen einzelnen PKI-Server ebenfalls so zu verfahren wenn man ihn nicht braucht... ;)

 

Hi,

 

dazu würde mir auf die schnelle kein wirklicher Vorteil einfallen - im Gegenteil es könnte u. U. zu Problemen führen wenn Server oder Clients ihre Zertifikate erneuern wollen...

 

@offlineCA: Aufgrund der Virtualisierung sollte das Heute kein Problem mehr sein. Die root CA für mein Netz ist "nur" ne VM die ich auf zwei externe Festplatten gespiegelt sicher aufbewahre...

Link zu diesem Kommentar

Hi,

 

wenn das Teil einen aktuellen Patchlevel hat und in einer hochsicheren Umgebung vielleicht sogar durche eine Firewall geschützt wird, dann sollte da nichts passieren ;-)

 

Das offline nehmen von CA's ist nur eine Schutzmaßnahme um im Fall der Fälle eine kompromitierte SubCA einfach ersetzten zu können bzw. deren certs sperren zu können...

 

Viele Grüße

Link zu diesem Kommentar

Guten Abend,

 

wie Johannes schon richtig sagte, ist das Szenario fuer das Offline-nehmen einer Root CA in einer groesseren Struktur etwas vollkommen anderes als die Root- und gleichzeitig ausstellende CA offline zu nehmen. In dem von Dir in Deiner Antwort beschriebenen Szenario also sicherlich kontraproduktiv.

 

Beim Offline-nehmen einer CA solltest Du auch immer (als zusaetzlichen Punkt) im Auge behalten, dass sich Domaenenclients eher schlecht fuer laengere Zeitraeume herunterfahren lassen, ohne dass es zu Problemen kommen wuerde... ;) Aus diesem Grund sind die Offline-CAs auch nicht AD-Member.

 

Viele Gruesse

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...