Jump to content

Frage zur Zertifikatsstelle

wilgin

Von wilgin
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

wilgin Rising Star

wilgin   11

Geschrieben
Geschrieben

Hallo,

wir haben derzeit eine zweistufige, A/D Integrierte, CA im Einsatz, die wir, aufgrund von neuen Anforderungen, durch eine neue (auch zweistufig, A/D integriert und auf W2K8R2) ersetzen möchten. Nun möchte ich erreichen, das die aktuelle CA noch einige Zeit gültig ist, jedoch keine neuen Zertifikate mehr ausstellt.

 

Nun war meine Überlegung, das ich die Rechte von den Vorlagen der jetzigen CA auf ReadOnly setzte. Somit sollten keine neuen Zertifikate mehr rausgehen. Und über das A/D verteile ich die öffentlichen Zertifikate der neuen CAs, damit die Vertrauensstellung hergestellt ist. (bzw. erfolgt dies denke ich automatisch)

 

Wäre dieser Weg so korrekt? Muss ich bei diesem Weg etwas speziell berücksichtigen?

Danke für Eure Infos und Tips.

Link zu diesem Kommentar
dmetzger Veteran

dmetzger   10

Geschrieben
Geschrieben

Deine Überlegung entspricht weder üblichen noch bewährten Methoden der PKI-Migration.

 

Wenn die bestehende CA keine Zertifikate mehr ausstellen soll, entfernst Du die auszustellenden Zertifikatvorlagen unter dem Knoten "Zertifikatvorlagen".

 

Eine zweistufige PKI besteht aus einer Offline Root CA, die Standalone und wirklich offline ist. D.h. sie hat keinen Netzwerkadapter, das OS wird telefonisch aktiviert, es werden keine Patches eingespielt etc. In der zweiten Stufe existiert mindestens eine ausstellende Enterprise-CA als Domänenmitglied. Die CRL der RootCA und das Stammzertifikat publizierst Du per certutil.exe in Active Directory und ggf. per http.

 

Das alles ist ausreichend bei Microsoft Technet dokumentiert und auch hier im Board mehrfach besprochen. Google und die Boardsuche helfen gerne.

Link zu diesem Kommentar
wilgin Rising Star

wilgin   11

Geschrieben
  • Autor
Geschrieben

Hallo,

 

danke für die Info. Mein Problem bei der RootCa ist, das die ausgestellten Zertifikate eine Gültigkeit von drei Jahren haben (hat einer meiner Vorgänger so konfiguriert ... mit welchen Gründen auch immer) und das wollen wir wegbringen.

 

Also möchten wir sowohl die ausstellende als auch die RootCA tauschen, weil man die Laufzeiten der RootCa meiner Info nach ja nicht mehr ändern kann.

 

ich werd mal weiter bingen ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...