none
neues Stammzertifikat mit Schlüssel >= 1024 RRS feed

  • Frage

  • Hallo zusammen,

    im Zuge des (sinnvollen) Einspielens von KB2661254 ist ja die Mindestschlüssellänge 1024.

    Unser Stammzertifikat war 512 Bit und die PKI ließ sich nicht mehr starten. Also erst einmal wieder den KB deinstallieren, Stammzertifikat mit 2048 Bit Länge erzeugen. PKI wieder schick.

    Leider sind jetzt alle alten Zertifikate, die gegen das alte Stammzertifikat ausgestellt worden sind nicht mehr gültig...

    Gibt's hier einen Trick oder ein beschriebenes Vorgehen?


    Greetings/Grüße Gernot

    Dienstag, 16. Oktober 2012 08:58

Antworten

  • Kann es sein, dass ein Rechner,

    - der den KB installiert hat und
    - mit einem Zertifikat 'konfrontiert' wird das zwar wenigstens 1024 Bit Verschlüsselung hat aber
    - ein Stammzertifikat in der Kette hat, das nur 512 Bit hat

    nicht mehr auf die Revocation Liste der PKI zugreifen kann?

    Die TMG wirft entsprechende Fehlermeldung aus, die auf sowas hindeuten...

    Fast richtig.

    Hast Du den Hinweis aus dem von Dir zitierten KB-Artikel (KB2661254 - http://support.microsoft.com/kb/2661254) gelesen?

    Auf den betroffenen Clients:

    [..]

    EnableWeakSignatureFlags

    The EnableWeakSignatureFlags DWORD value has three potential values: 2, 4, 6, and 8. These settings change the behavior of how the keys under 1024 bits detection and blocking works. The settings are described in the following table:
    Collapse this tableExpand this table
    Decimal value Description
    2 When enabled, the root certificate (during chain building) is allowed to have an RSA certificate with a key length of less than 1024 bits. Blocking of RSA certificates lower in the chain (if they have less than 1024 bit keys) is still in effect. The flag enabled when this value is set is as CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.

    [..]

    Examples

    To enable an RSA root certificate that has a key length of less than 1024 bits, use the following certutil command:

    certutil -setreg chain\EnableWeakSignatureFlags 2

    [..]

    Source: http://support.microsoft.com/kb/2661254

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Dienstag, 16. Oktober 2012 10:47
  • Das Problem liegt nicht in der Revokation-List, sondern bei der Überprüfung der Chain (sprich: Leaf-Certificate--Issuing CA--Intermediate CA--Root CA).

    Ist obiger Wert ("chain\EnableWeakSignatureFlags 2") nicht gesetzt, müssen sämtliche Certificates der Chain eine Key Lentgh von mind. 1024 bit haben.

    S.a.:

    Public Key Interoperability
    http://technet.microsoft.com/en-us/library/bb742463.aspx
    -> Certificate Chain Building

     - bzw. -

    How a Public Key Infrastructure Works
    http://technet.microsoft.com/en-us/library/cc738388.aspx

    und:

    Certificate Chains
    http://technet.microsoft.com/en-us/subscriptions/index/aa376515(v=vs.85).aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Dienstag, 16. Oktober 2012 13:34

Alle Antworten

  •  
    > Gibt's hier einen Trick oder ein beschriebenes Vorgehen?
     
    Neue erstellen und verteilen würde mir spontan einfallen ;-)
     

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!
    Dienstag, 16. Oktober 2012 09:34
  • einfach nur das Stammzertifikat verteilen? Das reicht nicht, wenn man wieder den KB Artikel installieren will. Das steht fest.

    Kann es sein, dass ein Rechner,

    - der den KB installiert hat und
    - mit einem Zertifikat 'konfrontiert' wird das zwar wenigstens 1024 Bit Verschlüsselung hat aber
    - ein Stammzertifikat in der Kette hat, das nur 512 Bit hat

    nicht mehr auf die Revocation Liste der PKI zugreifen kann?

    Die TMG wirft entsprechende Fehlermeldung aus, die auf sowas hindeuten...


    Greetings/Grüße Gernot

    Dienstag, 16. Oktober 2012 10:23
  • Kann es sein, dass ein Rechner,

    - der den KB installiert hat und
    - mit einem Zertifikat 'konfrontiert' wird das zwar wenigstens 1024 Bit Verschlüsselung hat aber
    - ein Stammzertifikat in der Kette hat, das nur 512 Bit hat

    nicht mehr auf die Revocation Liste der PKI zugreifen kann?

    Die TMG wirft entsprechende Fehlermeldung aus, die auf sowas hindeuten...

    Fast richtig.

    Hast Du den Hinweis aus dem von Dir zitierten KB-Artikel (KB2661254 - http://support.microsoft.com/kb/2661254) gelesen?

    Auf den betroffenen Clients:

    [..]

    EnableWeakSignatureFlags

    The EnableWeakSignatureFlags DWORD value has three potential values: 2, 4, 6, and 8. These settings change the behavior of how the keys under 1024 bits detection and blocking works. The settings are described in the following table:
    Collapse this tableExpand this table
    Decimal value Description
    2 When enabled, the root certificate (during chain building) is allowed to have an RSA certificate with a key length of less than 1024 bits. Blocking of RSA certificates lower in the chain (if they have less than 1024 bit keys) is still in effect. The flag enabled when this value is set is as CERT_CHAIN_ENABLE_WEAK_RSA_ROOT_FLAG.

    [..]

    Examples

    To enable an RSA root certificate that has a key length of less than 1024 bits, use the following certutil command:

    certutil -setreg chain\EnableWeakSignatureFlags 2

    [..]

    Source: http://support.microsoft.com/kb/2661254

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Dienstag, 16. Oktober 2012 10:47
  • Ja ich weiß. Ich wollte natürlich möglichst die "Funktionalität" nutzen, dass die "Weak Certs" geblockt werden.

    Mir war nicht klar, dass die Adressierung der Revocation list bei einem Zertifikat mit 2048 Bit trotzdem nicht funktioniert, nur weil das ursprüngliche Root Cert nur 512 Bit hat... Habe ich jetzt aber gelernt.

    Also vorher in Ruhe zuende denken bzw. ausprobieren ;-).

    In jedem Fall danke!


    Greetings/Grüße Gernot

    Dienstag, 16. Oktober 2012 10:57
  • Das Problem liegt nicht in der Revokation-List, sondern bei der Überprüfung der Chain (sprich: Leaf-Certificate--Issuing CA--Intermediate CA--Root CA).

    Ist obiger Wert ("chain\EnableWeakSignatureFlags 2") nicht gesetzt, müssen sämtliche Certificates der Chain eine Key Lentgh von mind. 1024 bit haben.

    S.a.:

    Public Key Interoperability
    http://technet.microsoft.com/en-us/library/bb742463.aspx
    -> Certificate Chain Building

     - bzw. -

    How a Public Key Infrastructure Works
    http://technet.microsoft.com/en-us/library/cc738388.aspx

    und:

    Certificate Chains
    http://technet.microsoft.com/en-us/subscriptions/index/aa376515(v=vs.85).aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Dienstag, 16. Oktober 2012 13:34
  • So. Etwas verspätete Antwort: Das Thema ist durch. Alle Zertifikate erneuert. Fleißarbeit.

    die Artikel haben geholfen. Danke!


    Greetings/Grüße Gernot

    Dienstag, 6. November 2012 12:10
  • Danke fürs Feedback :)

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
    Dienstag, 6. November 2012 13:17