PKI - (CA) Zertifikat mit gleichen oder neuem key verlängern

[Beetlejuice 11]

Hallo Leute,

 

ich habe da mal so eine kleine Frage aber finde selber keine Antwort drauf.

Gibt es bestimmte Voraussetzungen wann man ein Zertifikat mit gleichem Priv. Key verlängern sollte und wann nicht?

 

Für unsere internen Dienste haben wir eine Windows PKI Root und Sub CA's. Die Zertifikate auf den Linux Systemen werden script-basiert immer mit einem neuem Key angefragt und ausgestellt.

Bei den Windows System kann ich aber auch ganz simpel das Zertifikat mit demselben Key verlängern.

 

->  Was für einen Mehrwert bringt mir das, ein Zertifikat mit gleichem Key zu verlängern?

-> Als nächstes stellt sich mir die Frage, warum ich die Sub-CA (bei ca. der hälfte der Lifetime) mit gleichem Key Verlängern soll und nicht stattdessen ein neues CA Cert mit neuem Key ausstellen soll?

In beiden fällen bleibt das alte CA Zertifikat ja weiterhin vorhanden (soweit noch Gültig).

 

Danke und viele Grüße!

[NilsK 3.046]

Moin,

 

die kurze Antwort ist: nein. Es gibt weder bestimmte Voraussetzungen, wann man das tun sollte, noch gibt es handfeste Gründe dafür oder dagegen.

 

Für die lange Antwort frag eine Suchmaschine nach "renew pki certificate with same key" oder was in der Art. Es gibt Diskussionen darüber, aber am Ende ist es keine echte Sicherheitsfrage.

 

Gruß, Nils

 

[NorbertFe 2.283]

vor 35 Minuten schrieb Beetlejuice:

Was für einen Mehrwert bringt mir das, ein Zertifikat mit gleichem Key zu verlängern?

Du musst die Konfiguration drum herum nicht anpassen. Bspw. Zertifikatsbindung im exchange sende-/empfangsconnector zertifikatsinfos im tlsa Record (bspw. Für DANE)