ipbhalle 10 Posted October 15, 2012 Report Share Posted October 15, 2012 Hallo Ich bin in die Falle getappt : Microsoft-Sicherheitsempfehlung (2661254): Update für Mindestschlüssellänge in Zertifikaten Hintergrund : meine CA ist relativ alt und leider mit einem 512bit-root-Zertifikat als ich noch gar keine Ahnung hatte ... Sie wurde mal mit einem W2000-Server erstellt und ist inzwischen auf einen 2008R2 umgezogen. Bei dem Umzug bleiben aber offenbar die Eigenschaften des Root-Zertifikats erhalten. Ich hatte mir zwar angesehen wie viel Bit die von der CA ausgestellten Zertifikat haben (2048) und dachte alles ok. Aber nach dem Einspielen des Updates hat sich die CA immer selbst beendet. Es gibt zwar jetzt den Workaround a) das Update nicht zu installieren, b) den Reg-Eintrag "Certutil -setreg chain\EnableWeakSignatureFlags 2" setzten. (Microsoft Security Advisory: Update for minimum certificate key length) Beides ist aber sicher nicht der optimale Weg. Was ich suche und noch nicht gefunden habe : wie kann ich bei meinem Root-Zertifikat die Bit-Anzahl erhöhen ? Wenn ich es einfach nur erneuere wird ja die Bit-Anzahl nicht verändert (?). Kann mir jemand einen Tip oder eine Anleitung geben wie ich das Root-Zertifikat auf 2048bit bringen kann ? Gruß Ronald Quote Link to comment
NorbertFe 1,974 Posted October 15, 2012 Report Share Posted October 15, 2012 Also neulich hatte ich das Problem und beim Erneuern des Zertifizierungsstellen-Zertifikats unter 2008 (R2?) war die Länge 2048. Bye Norbert Quote Link to comment
ipbhalle 10 Posted October 15, 2012 Author Report Share Posted October 15, 2012 Danke für die Antwort. Leider muss ich erst mal sehen wie ich das machen kann. Eigentlich sollte sich ja das Computer-Zertifikat der CA ( mit der Vorlage "Zertifizierungsstelle" ) erneuern lassen. Allerding gibt das z.Z. eine Fehlermeldung : "Die Berechtigungen auf diese Zertifikatsvorlage lassen nicht zu, dass der aktuelle Benutzer sich für diesen Type einschreibt. Sie besitzen keine Bechtigung zum anfordern diese Types von Zertifikat." Dazu kommt, das es keine aktuelle Vorlage "Zertifizierungsstelle" gibt. Unter "Vorlagen/Verwalten" zwar schon, aber nicht mehr unter "Vorlagen/Neu". Die CA ist wie gesagt von einem W2000 ( + InplaceUpgrade auf 2k3) und dann mit Export/Import auf den W2K8R2 umgezogen. Ich bin nicht sicher das da alles sauber ist. Andere Computer-Zertifikate ( z.B. Kerberos) kann ich erneuern. Gruß Ronald Quote Link to comment
NorbertFe 1,974 Posted October 15, 2012 Report Share Posted October 15, 2012 Rechte Maustaste auf die CA und dann "Alle Aufgaben" Zertifizierungsstellenzertifikat erneuern. ;) Bye Norbert Quote Link to comment
olc 18 Posted October 15, 2012 Report Share Posted October 15, 2012 Hi, der alte Schlüssel wird immer die geringe Schlüssellänge haben, nur ein neuer Schlüssel kann eine höhere Bitzahl (2048 Bit etwa) haben. Wie von Norbert auch schon beschrieben: Renewing a certification authority: Public Key bzw. Renew a root certification authority: Public Key Ggf. hat es Sinn, Dich vorher noch etwas in die Materie einzulesen, bevor Du "Fehler" wiederholst. Vielleicht hat es ja Sinn, eine neue PKI Struktur zu etablieren, um heute gängige Standards (offline Root CA, physische Sicherheit, Prozesse um die PKI usw.) zu gewährleisten. Viele Grüße olc Quote Link to comment
ipbhalle 10 Posted October 16, 2012 Author Report Share Posted October 16, 2012 Rechte Maustaste auf die CA und dann "Alle Aufgaben" Zertifizierungsstellenzertifikat erneuern. ;) Danke, manchmal sieht man wirklich den Wald vor lauter Bäumen nicht. Ich hab den Punkt auch in der Vergangenheit schon mal benutzt, aber wenn man das nur alle paar Jahre macht ... Die CA hat jetzt ein Zertifikat mit 2048 bit und alles läuft :) Gruß Ronald Quote Link to comment
NorbertFe 1,974 Posted October 16, 2012 Report Share Posted October 16, 2012 Danke für die Rückmeldung. Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.