deprecated 0 Geschrieben 26. Januar 2023 Melden Teilen Geschrieben 26. Januar 2023 Hallo zusammen, wir wollen das Zertifikat der Issuing CA erneuern und befassen uns nun erstmals mit der Thematik. Die Infrastruktur besteht aus einer offline Root CA und der Issuing CA. Das Zertifikat der Root CA besitzt noch ausreichende Gültigkeit. Laut Empfehlung soll das Zertifikat nicht verlängert, sondern erneuert werden, da es in der Vergangenheit auch bereits einen Sicherheitsvorfall gab. Die Verteilung des aktuellen Zertifikats erfolgt per Intune und AIA. Das neue Zertifikat soll über den gleich Weg verteilt werden. Server: Windows Server 2016 1. Während meiner Recherche bin ich bisher auf keine Stolpersteine/known issues gestoßen, die bei der Erstellung und Verteilung des neuen Zertifikats auftreten können. Hat hier jemand Erfahrung und kann etwas zu Risiken/known issues sagen, die vorab bedacht werden müssen? 2. Um eine vollständige Verteilung des neuen Zertifikats zu gewährleisten, haben wir die Idee, dieses nach dem Signieren durch die Root CA zunächst auf die Clients zu verteilen und erst dann auf der Issuing CA zu publishen. Ist dies möglich und ergibt das Vorgehen überhaupt Sinn? Falls hier noch Informationen fehlen sollten, um meine Fragen beantworten zu können, versuche ich diese so gut es geht nachzuliefern. Vielen Dank schon einmal für eure Unterstützung :) Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Januar 2023 Melden Teilen Geschrieben 26. Januar 2023 vor 14 Minuten schrieb deprecated: 2. Um eine vollständige Verteilung des neuen Zertifikats zu gewährleisten, haben wir die Idee, dieses nach dem Signieren durch die Root CA zunächst auf die Clients zu verteilen und erst dann auf der Issuing CA zu publishen. Afaik ist die dann aber solange offline. vor 14 Minuten schrieb deprecated: ergibt das Vorgehen überhaupt Sinn? Nö, es sei denn ihr stellt sofort Zertifikate basierend auf dem neuen CA Zert aus. Was eher unwahrscheinlich ist, aber dann wäre es relevant, dass die Geräte/User auf die mit solchen Zertifikaten abgesicherten Dienste das neue Intermediate schon kennen. vor 16 Minuten schrieb deprecated: da es in der Vergangenheit auch bereits einen Sicherheitsvorfall gab. Man mag mich jetzt paranoid nennen, aber genau dafür hat man doch dann die Rückrufoption. Wenn also euer CA Zert _als nicht vertrauenswürdig_ gilt? ;) 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 26. Januar 2023 Melden Teilen Geschrieben 26. Januar 2023 vor 17 Minuten schrieb deprecated: Laut Empfehlung soll das Zertifikat nicht verlängert, sondern erneuert werden, da es in der Vergangenheit auch bereits einen Sicherheitsvorfall gab. Empfehlung von wem? Was ist in eurem Sprech der Unterschied zwischen "erneuern" und "verlängern"? Man kann ein Zertifikat nicht "verlängern", denn das Start- und Ablaufdatum sind Teil seiner Identität. Vermutlich geht es also darum, einen neuen Private Key zu generieren oder den bestehenden weiter zu verwenden - richtig? Sofern eure AIA- und CDP-Speicherorte hinreichend schnell aktualisiert werden, braucht ihr euch m.E. keine Sorgen zu machen, denn das vorherige Zertifikat wird ja nicht ungültig. Anders freilich liegt der Fall, wenn ihr anlässlich der Maßnahme die Issuing CA tatsächlich zurückrufen wollt, weil es da diesen Sicherheitsvorfall gab,. Dann würde ich aber einfach eine neue bauen und wenn die alle kennen, die es sollen, die alte ordentlich abmanagen. 1 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 26. Januar 2023 Melden Teilen Geschrieben 26. Januar 2023 Moin, vor 31 Minuten schrieb cj_berlin: abmanagen das Wort merk ich mir, das ist cool. Gruß, Ni"sorry für OT"ls Zitieren Link zu diesem Kommentar
deprecated 0 Geschrieben 26. Januar 2023 Autor Melden Teilen Geschrieben 26. Januar 2023 vor 51 Minuten schrieb NorbertFe: Afaik ist die dann aber solange offline. Das hatte ich nicht bedacht, das würde dann auf jeden Fall dagegen sprechen. vor 52 Minuten schrieb NorbertFe: Nö, es sei denn ihr stellt sofort Zertifikate basierend auf dem neuen CA Zert aus. Was eher unwahrscheinlich ist, aber dann wäre es relevant, dass die Geräte/User auf die mit solchen Zertifikaten abgesicherten Dienste das neue Intermediate schon kennen. Das heißt, es können nach dem Erstellen des neuen Zertifikats auch weiterhin Zertifikate von der alten CA ausgestellt werden? vor 52 Minuten schrieb NorbertFe: Man mag mich jetzt paranoid nennen, aber genau dafür hat man doch dann die Rückrufoption. Wenn also euer CA Zert _als nicht vertrauenswürdig_ gilt? ;) Ja das stimmt. Das Zitat ist auch weiterhin vertrauenswürdig. Wir wollen nur auf Nummer sicher gehen. Das alte Zertifikat soll nach Verteilung des neuen Zertifikats revoked werden. vor 44 Minuten schrieb cj_berlin: Empfehlung von wem? u.a. https://www.sysadmins.lv/blog-en/root-ca-certificate-renewal.aspx Da es sonst zu Problemen mit der Zertifikatskette kommen kann. vor 50 Minuten schrieb cj_berlin: Was ist in eurem Sprech der Unterschied zwischen "erneuern" und "verlängern"? Man kann ein Zertifikat nicht "verlängern", denn das Start- und Ablaufdatum sind Teil seiner Identität. Vermutlich geht es also darum, einen neuen Private Key zu generieren oder den bestehenden weiter zu verwenden - richtig? Sofern eure AIA- und CDP-Speicherorte hinreichend schnell aktualisiert werden, braucht ihr euch m.E. keine Sorgen zu machen, denn das vorherige Zertifikat wird ja nicht ungültig. Das war wohl etwas unglücklich ausgedrückt. Ich meine mit "Erneuern" die Generierung eines neuen Keys. Wir wollen einen neuen Key generieren und nicht den alten weiter verwenden. Die Speicherorte sollten schnell genug aktualisiert werden. Das werde ich mir aber sicherheitshalber nochmal genauer anschauen. vor 52 Minuten schrieb cj_berlin: Anders freilich liegt der Fall, wenn ihr anlässlich der Maßnahme die Issuing CA tatsächlich zurückrufen wollt, weil es da diesen Sicherheitsvorfall gab,. Dann würde ich aber einfach eine neue bauen und wenn die alle kennen, die es sollen, die alte ordentlich abmanagen. So gravierend war der Vorfall zum Glück nicht :) Danke euch für eure Antworten :) Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 26. Januar 2023 Melden Teilen Geschrieben 26. Januar 2023 Moin, an der Stelle wäre es vermutlich sinnvoll, sich noch mal mit Funktion und Arbeitsweise einer PKI zu beschäftigen. Das ist im Detail nicht ohne, aber wenn man das nicht tut, gibt es immer wieder Missverständnisse. Grundsätzlich ist es so: Wenn man das Renewal einer CA rechtzeitig durchführt, gibt es damit in der Praxis keine Probleme. Der Witz besteht darin, dass das neue CA-Zertifikat bereitsteht, lange bevor das alte ausläuft. Wann das ist. bemisst sich an der Gültigkeit der ausgestellten Zertifikate: Sind die z.B. ein Jahr gültig, dann muss das neue CA-Zertifikat schon ein Jahr vor dem Ablaufen des alten bereitstehen, denn das alte könnte gar kein Zertifikat mehr beglaubigen, das länger läuft. Daher gehören bei einer guten PKI-Planung der Lebenszyklus der Zertifikate und die Erneuerungszeiträume immer dazu. Dann weiß man schon vorab, was wann zu tun ist. Gruß, Nils Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 26. Januar 2023 Melden Teilen Geschrieben 26. Januar 2023 vor 13 Minuten schrieb NilsK: Dann weiß man schon vorab, was wann zu tun ist. Und macht sich sogar Kalender-Reminder. Und verschusselt das am Ende doch. 3 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Januar 2023 Melden Teilen Geschrieben 26. Januar 2023 vor 2 Stunden schrieb deprecated: Das heißt, es können nach dem Erstellen des neuen Zertifikats auch weiterhin Zertifikate von der alten CA ausgestellt werden? Afaik nein. vor 2 Stunden schrieb deprecated: Das alte Zertifikat soll nach Verteilung des neuen Zertifikats revoked werden. Ich mag mich jetzt irren, aber wenn ihr das tut, dann sind mit einem Schlag alle alten Zertifikate ungültig. Üblicherweise dauert das oben erwähnte "abmanagen" deutlich länger also nur mal eben ein neues Intermediate zu verteilen. Aber macht mal. ;) vor 2 Stunden schrieb deprecated: Da es sonst zu Problemen mit der Zertifikatskette kommen kann. Da steht nicht erneuert, sondern du sollst kein Key-reusage nutzen. Denn erneuert wird es in jedem Fall. vor 2 Stunden schrieb NilsK: an der Stelle wäre es vermutlich sinnvoll, sich noch mal mit Funktion und Arbeitsweise einer PKI zu beschäftigen. Das ist im Detail nicht ohne, aber wenn man das nicht tut, gibt es immer wieder Missverständnisse. Sehe ich genauso. Und selbst wenn man regelmässig damit zu tun hat überrascht einen die ein oder andere Arbeitsweise doch noch. Bye Norbert vor 2 Stunden schrieb NilsK: denn das alte könnte gar kein Zertifikat mehr beglaubigen, das länger läuft. richtig, es werden dann Zertifikate mit der maximalen Laufzeit des CA Zertifikats ausgestellt. Das merkt man also ggf. auch erst zu spät, wenn mans nicht im Prozess stehen hat. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 26. Januar 2023 Melden Teilen Geschrieben 26. Januar 2023 Moin, hier eine allgemeine Formel, um die CA-Zertifikatslaufzeiten zu berechnen: maximale Laufzeit für ausgestellte Zertifikate festlegen (heute meist 1 Jahr, kann man sich bei einer internen CA aber selbst überlegen; je nach Zweck kann auch deutlich weniger sinnvoll sein. Hier geht es aber um das Maximum, das man "zulassen" will) Argumentation: Die CA sollte so lange laufen, dass sie immer Zertifikate mit der vollen geplanten Lebensdauer ausstellen kann. Issuing CA: 2 × Zertifikatslaufzeit + Puffer Beispiel: 2 × 2 Jahre + 1 Jahr = 5 Jahre Root CA: 2 × Issuing-CA-Laufzeit + Puffer Beispiel: 2 × 5 Jahre + 1 Jahr = 11 Jahre Die tatsächliche Verlängerung/Erneuerung der CA-Zertifikate erfolgt dann nach der Hälfte der Zeit, bei der Root-CA also im sechsten Jahr. So ist gewährleistet, dass sie immer neue Issuing-CA-Zertifikate mit der vollen Laufzeit ausstellen kann. Muss man nicht so machen, hilft aber. Gruß, Nils Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 27. Januar 2023 Melden Teilen Geschrieben 27. Januar 2023 Es gibt noch eine Einfachere Rechnung: Zeit bis zur Rente + Puffer 3 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 27. Januar 2023 Melden Teilen Geschrieben 27. Januar 2023 Ja, das sehe ich in den Beratungen ständig. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.