Windows PKI: Root CA Zertifikat und Issuing CA Zertifikate erneuern

25. Juni 2015 von Thomas Hanrath

In meinem System Center Umfeld werde ich regelmäßig mit dem Thema PKI konfrontiert. In einem entsprechenden Projekt steht die Erneuerung von Root CA Zertifikat und der untergeordneten ausgebenden Zertifizierungsstellenzertifikate an.

Aus diesem Anlass hier eine kurze Anleitung welche Schritte dabei zu bearbeiten sind.

Situation:

In meinem Szenario beschreibe ich die Vorgehensweise für eine 2-Stufige PKI. Der Einfachheit halber mit einer Offline Root CA und einer Ausgebenden Unternehmenszertifizierungsstelle.

Beide CA sollen ins AD und auf einen Webserver publizieren.

Vorarbeit – Namenssuffix der CRL anpassen auf Root CA und Ausgebender CA

Für eine Übergangszeit werden zwei voneinander unabhängige Vertrauensketten Gültigkeit haben. Ergo benötigt man zwei getrennte CRL Files. Ohne Anpassung des CRL Suffixes funktioniert das leider nicht. Mit einem Certutil Befehl lässt sich das Ziel erreichen:

Grundlegendes einer Zertifizierungsstellen (CA)

27. September 202123. Juni 2014 von Fabian Niesen

Bevor Sie mal eben schnell eine CA einrichten, sollten Sie vorher über ein paar Dinge nachdenken. Ist eine Interne CA überhaupt, dass was Sie benötigen? Ergeben sich aus Ihren Sicherheitsanforderungen der Bedarf nach einer Offline Root-CA? Sollen / müssen die Zertifikate im Internet auf Ihre Gültigkeit geprüft werden können? Welche Arten von Zertifikaten benötigen Sie? Welche Menge an Zertifikaten benötigen Sie?