CA Zertifikat auf 2048bit erhöhen ?

[ipbhalle 10]

Hallo

 

Ich bin in die Falle getappt :

Microsoft-Sicherheitsempfehlung (2661254): Update für Mindestschlüssellänge in Zertifikaten

 

Hintergrund : meine CA ist relativ alt und leider mit einem 512bit-root-Zertifikat als ich noch gar keine Ahnung hatte ...

Sie wurde mal mit einem W2000-Server erstellt und ist inzwischen auf einen 2008R2 umgezogen. Bei dem Umzug bleiben aber offenbar die Eigenschaften des Root-Zertifikats erhalten.

Ich hatte mir zwar angesehen wie viel Bit die von der CA ausgestellten Zertifikat haben (2048) und dachte alles ok. Aber nach dem Einspielen des Updates hat sich die CA immer selbst beendet.

Es gibt zwar jetzt den Workaround a) das Update nicht zu installieren, b) den Reg-Eintrag "Certutil -setreg chain\EnableWeakSignatureFlags 2" setzten.

(Microsoft Security Advisory: Update for minimum certificate key length)

Beides ist aber sicher nicht der optimale Weg.

 

Was ich suche und noch nicht gefunden habe : wie kann ich bei meinem Root-Zertifikat die Bit-Anzahl erhöhen ?

Wenn ich es einfach nur erneuere wird ja die Bit-Anzahl nicht verändert (?).

Kann mir jemand einen Tip oder eine Anleitung geben wie ich das Root-Zertifikat auf 2048bit bringen kann ?

 

Gruß Ronald

[NorbertFe 1.805]

Also neulich hatte ich das Problem und beim Erneuern des Zertifizierungsstellen-Zertifikats unter 2008 (R2?) war die Länge 2048.

 

Bye

Norbert

[ipbhalle 10]

Danke für die Antwort.

Leider muss ich erst mal sehen wie ich das machen kann.

Eigentlich sollte sich ja das Computer-Zertifikat der CA ( mit der Vorlage "Zertifizierungsstelle" ) erneuern lassen.

Allerding gibt das z.Z. eine Fehlermeldung :

"Die Berechtigungen auf diese Zertifikatsvorlage lassen nicht zu, dass der aktuelle Benutzer sich für diesen Type einschreibt.

Sie besitzen keine Bechtigung zum anfordern diese Types von Zertifikat."

 

Dazu kommt, das es keine aktuelle Vorlage "Zertifizierungsstelle" gibt.

Unter "Vorlagen/Verwalten" zwar schon, aber nicht mehr unter "Vorlagen/Neu".

 

Die CA ist wie gesagt von einem W2000 ( + InplaceUpgrade auf 2k3) und dann mit Export/Import auf den W2K8R2 umgezogen.

Ich bin nicht sicher das da alles sauber ist.

Andere Computer-Zertifikate ( z.B. Kerberos) kann ich erneuern.

 

Gruß Ronald

[NorbertFe 1.805]

Rechte Maustaste auf die CA und dann "Alle Aufgaben" Zertifizierungsstellenzertifikat erneuern. ;)

 

Bye

Norbert

[olc 18]

Hi,

 

der alte Schlüssel wird immer die geringe Schlüssellänge haben, nur ein neuer Schlüssel kann eine höhere Bitzahl (2048 Bit etwa) haben.

 

Wie von Norbert auch schon beschrieben: Renewing a certification authority: Public Key

bzw.

Renew a root certification authority: Public Key

 

Ggf. hat es Sinn, Dich vorher noch etwas in die Materie einzulesen, bevor Du "Fehler" wiederholst. Vielleicht hat es ja Sinn, eine neue PKI Struktur zu etablieren, um heute gängige Standards (offline Root CA, physische Sicherheit, Prozesse um die PKI usw.) zu gewährleisten.

 

Viele Grüße

olc

[ipbhalle 10]

Rechte Maustaste auf die CA und dann "Alle Aufgaben" Zertifizierungsstellenzertifikat erneuern. ;)

 

Danke, manchmal sieht man wirklich den Wald vor lauter Bäumen nicht.

Ich hab den Punkt auch in der Vergangenheit schon mal benutzt, aber wenn man das nur alle paar Jahre macht ...

 

Die CA hat jetzt ein Zertifikat mit 2048 bit und alles läuft :)

 

Gruß Ronald

[NorbertFe 1.805]

Danke für die Rückmeldung.