Purecut 10 Geschrieben 4. Juni 2011 Melden Teilen Geschrieben 4. Juni 2011 Hallo, ich habe ein Zertifikatsproblem der Zertifizierungsstelle. Bis dato hatte ich nur das Zertifikat mit der Nr. 0 in der Zertifizierungsstelle, welches zum Ausstellen von Zertifikaten im Unternehmen genutzt wird. Da jetzt aber Mitarbeiter via RDP sich verbinden, musste die Zertifikatssperrliste veröffentlicht werden. Das Zertifikat 0 beinhaltete die Info, wo die Sperrliste von außen zugänglich und gezogen werden konnte leider nicht. Aus diesem Grund habe ich in den Eigenschaften des Zertifikates 0 die Infos eingetragen. Danach wurde die Zertifizierungsstelle neu gestartet und nun habe ich zwei Zertifikate in dem Liste der zu verwendeten Root CAs stehen. 0 mit den alten Infos, 1 mit den aktuellen und der Sperrliste. Wie bekomme ich das Zertifikat 0 aus dieser Liste und aus dem AD raus, so dass ich nur noch das Zertifikat 1 mit den entsprechenden Infos habe und dies auch benutzt wird. Alle Clients haben bereits neue Zertifikate basierend auf Root CA 1. Ich suche mir im Netz ein Wölchen wie ich das 0er Zertifikat aus der Zertifizierungsstelle löschen kann. Vielleicht hat von euch jemand eine Anleitung wie ich dies anstelle ohne mir die Zertifizierungsstelle zu zerschießen. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 5. Juni 2011 Melden Teilen Geschrieben 5. Juni 2011 Hi, warum möchtest Du das Zertifikat unbedingt weg bekommen? Du benötigst das Zertifikat "0" weiterhin, da die alten Zertifikate mit diesem Schlüssel signiert wurden. Entfernst Du es, kann durch die CA keine CRL gegen diese alten Zertifikate ausgestellt werden und es kommt zu Problemen. Es gibt keinen technischen Grund, der für die Entfernung des alten Zertifikats spricht. Laß es also am besten einfach so, wie es ist. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Purecut 10 Geschrieben 5. Juni 2011 Autor Melden Teilen Geschrieben 5. Juni 2011 Danke OLC für deinen Kommentar. Ich störe mich nur etwas daran, das Microsoft in seiner "Best practice" sagt, dass in dem RootCA keine CRL Pfade enthalten sein sollen. A root CA certificate should have an empty CRL distribution point because the CRL distribution point is defined by the certificate issuer. Since the roots certificate issuer is the root CA, there is no value in including a CRL distribution point for the root CA. In addition, some applications may detect an invalid certificate chain if the root certificate has a CRL distribution point extension set. Die hab ich aber jetzt in der Nr. 1 jetzt drinstehen. Das ist der Grund für das warum und ich hab auf den Clients 2 RootCAs liegen. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 5. Juni 2011 Melden Teilen Geschrieben 5. Juni 2011 Hi, Microsoft geht in seinen best practices davon aus, daß Du eine offline Root CA und eine (issuing) Subordinate CA betreibst. In diesem Fall benötigt die Root CA keine CRL Lokationen *im eigenen* Zertifikat, da sich dieses ja nicht gegen sich selbst revozieren läßt. Im Zertifikat der SubCA, welches durch die Root CA ausgestellt wird, ist dann der CDP für die CRL der Root CA enthalten. Ich vermute, da liegt das Verständnisproblem. :) Daß auf den Clients 2 Root-Zertifikate liegen (also Nummer 0 und Nummer 1) ist also durch Deine Erneuerung des Root CA Zertifikats korrekt und im Grunde stört es ja auch nicht. ;) Viele Grüße olc Zitieren Link zu diesem Kommentar
Purecut 10 Geschrieben 6. Juni 2011 Autor Melden Teilen Geschrieben 6. Juni 2011 Danke für deine Erklärung. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 6. Juni 2011 Melden Teilen Geschrieben 6. Juni 2011 Gern, melde Dich bei Fragen. :) Viele Grüße olc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.