zahni 521 Geschrieben 10. März 2021 Melden Teilen Geschrieben 10. März 2021 vor 1 Minute schrieb NilsK: naja, aber das ist ja das, wo der Aufwand liegt Es soll auch Enterprise-CAs geben, die keine Intermediate CA verwenden (*duck*). Ich kann bestätigen dass der Hash-Algorithmus des Root Zertifikats dann auch egal ist. Wichtig ist, dass neue Zertifikate mit SHA2 ausgestellt werden und Chrome seinen alternative name sieht (wozu auch immer...). Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 10. März 2021 Melden Teilen Geschrieben 10. März 2021 Moin, Gerade eben schrieb zahni: Es soll auch Enterprise-CAs geben, die keine Intermediate CA verwenden (*duck*). Ich kann bestätigen dass der Hash-Algorithmus des Root Zertifikats dann auch egal ist. in der Praxis besteht die PKI entweder aus nur einer CA - dann ist Root = Issuing - oder aus zwei Stufen - Root plus Issuing. Ganz selten gibt es Root - Intermediate - Issuing. In allen Fällen liegt der Aufwand an der Stelle "Issuing". Daher meine Idee, dass man es dann auch gleich ganz neu machen kann. Lohnt sich praktisch immer. Wenn man es von da ab richtig macht. Gruß, Nils Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 10. März 2021 Melden Teilen Geschrieben 10. März 2021 Wenn es mehr als zwei Stufen sind ist das eher eine größere Organisation, in der entsprechendes Know-How und Prozesse vorhanden sind. Zitieren Link zu diesem Kommentar
NorbertFe 1.800 Geschrieben 10. März 2021 Melden Teilen Geschrieben 10. März 2021 Das würde ich nicht unterschreiben 1 Zitieren Link zu diesem Kommentar
Abacus08 1 Geschrieben 10. März 2021 Autor Melden Teilen Geschrieben 10. März 2021 vor 5 Stunden schrieb NilsK: Moin, ich würde das trotzdem als Option nicht ausschließen. Bestehende Zertifikate kann man gut auf einer Alt-CA solange "laufen" lassen, wie sie noch gültig sind. Da braucht man ja eigentlich nur die Pflege der CRLs, neue Zertifikate stellt diese CA dann nicht mehr aus. Alles Neue lässt man dann von einer neuen, gut gemachten und aktuellen CA bedienen. Und igendwann ist die alte CA obsolet und man entfernt sie - meist eine Sache von Monaten, nicht von Jahren. Wieviel ist denn "extrem hohe Anzahl"? Gruß, Nils Hallo Nils, ich habe mal überprüft, wieviele Zertifikate es gibt. Es sind inzwischen etwas mehr als 180 Einzelzertifikate ;.( Willi Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 10. März 2021 Melden Teilen Geschrieben 10. März 2021 Moin, Na, aber das ist ja nicht extrem. Ich sehe da keinen Grund, der einen Neuaufbau ausschließen würde. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.