broder
Goto Top

Zertifikatsverlängerung einer Zertifizierungsstelle

Hallo zusammen.

Ich lerne mich gerade in das Thema PKI ein und habe mir in meiner Testumgebung folgendes installiert:

Offline Stamm-CA unter Windows Server 2012
Untergeordnete Unternehmenszertifizierungsstelle unter Windows Server 2012 (Außerdem ist dies ein DC)
Client-PC

Installation und Ausstellen der ersten Zertifikate hat funktioniert. Jetzt bin ich allerdings auf eine Frage gestoßen, auf die ich noch keine Antwort gefunden habe. Irgendwann muss doch das Zertifizierungstellenzertifikat der Stamm-CA und/oder der untergeordneten CA verlängert werden. Was passiert dann mit den bereits ausgestellten Zertifikaten? Werden diese dann automatisch ungültig und müssen alle neu ausgestellt werden?

Content-Key: 564786

Url: https://administrator.de/contentid/564786

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: emeriks
Lösung emeriks 14.04.2020 aktualisiert um 12:07:45 Uhr
Goto Top
Hi,
die ausgestellten Zertifikate gelten sowieso nur max. solange, wie die CA-Zertifikate selbst. Eine CA kann kein Zertifikat ausstellen, dessen Ablaufdatum später ist, als das des CA-Zertifikats selbst. D.h. wenn ein CA-Zertifikat abgelaufen ist, dann laufen - spätestens dann - automatisch auch alle damit ausgestellten Zertifikate ab. Von daher müssen also alle diese Zertifikate eh erneuert werden.
Die bereits ausgestellten Zertifikate bleiben aber noch gültig, wenn das CA-Zertifikat schon vor Ablauf dessen erneuert wird. Deswegen muss man das alte, ersetzte Public CA-Zertifikat solange vorhalten und ausrollen, wie damit ausgestellte Zertifikate noch im Gebrauch sind.

E.
Mitglied: SlainteMhath
Lösung SlainteMhath 14.04.2020 um 12:07:51 Uhr
Goto Top
Moin,

Unternehmenszertifizierungsstelle unter Windows Server 2012 (Außerdem ist dies ein DC)
Tipp aus der Praxis: Installier die SubCA auf einem eigenen Server, der nichts anderes macht.

Was passiert dann mit den bereits ausgestellten Zertifikaten? Werden diese dann automatisch ungültig und müssen alle neu ausgestellt werden?
Die (Sub)CA kann keine Zertifikate ausstellen, die über ihren eigenen Gültigkeitszeitraum hinausgehen - damit stellt sich die Frage gar nicht.

lg,
Slainte
Mitglied: broder
broder 14.04.2020 um 12:30:48 Uhr
Goto Top
Danke für die Antworten!

Noch eine Zusatzfrage: Bleiben beim Verlängern die Zertifikatsvorlagen unangetastet?
Mitglied: emeriks
emeriks 14.04.2020 um 12:39:49 Uhr
Goto Top
Zitat von @broder:
Noch eine Zusatzfrage: Bleiben beim Verlängern die Zertifikatsvorlagen unangetastet?
Ja.