none
Zertifikat Verständnisfrage RRS feed

  • Frage

  • wir planen unser Root CA vom SHA1 auf SHA2 umzustellen.

    was muss man da für bereits ausgestellte im Umlauf gebrachte Zertifikate beachten?

    Manche Mitarbeiter nutzen OWA und haben unser Public Root Zertifikat (SHA1) am Laptop importiert. Funktioniert danach das bestehende Public Root CA am Proxy (weiter zu Exchange) noch?

    Gleiches bei mobilen Geräten. Bei den Handy nutzen wir auch unser Root CA Zertifikat für ActiveSync.

    Was ist mit dem Public Root Zertifikat (SHA1) auf unserem Proxy der die HTTPS aufbricht.

    NAP/NAC da haben wir für unsere VOPIP Telefone ein Zertifikat ausgestellt? Können die weiterarbeiten.


    Chris

    Mittwoch, 4. Mai 2016 06:27

Antworten

  • Hi,

    wenn du das Root-Zertifikat auf SHA2 umstellst, dann musst du ein neues Root-CA-Zertifikat erstellen bzw. das Root-CA-Zertifikat erneuern, um somit auf SHA2 zu kommen.

    Das alte Root-CA-Zertifikat bleibt noch gültig und somit auch alle von diesem Zertifikat signierten Zertifikate.

    Gruß

    Christian


    Christian Groebner MVP Forefront

    • Als Antwort markiert -- Chris -- Mittwoch, 4. Mai 2016 09:10
    Mittwoch, 4. Mai 2016 07:00
  • Hi,

    ja, die müssten weiterlaufen. Da du das CA-Zertifikat nur erneuerst und das "alte" noch eine Gültigkeit bis Datum X hat, somit laufen auch die bereits ausgestellten Zertifikate weiter.

    Gruß

    Christian


    Christian Groebner MVP Forefront

    • Als Antwort markiert -- Chris -- Mittwoch, 4. Mai 2016 09:10
    Mittwoch, 4. Mai 2016 08:15

Alle Antworten

  • Hi,

    wenn du das Root-Zertifikat auf SHA2 umstellst, dann musst du ein neues Root-CA-Zertifikat erstellen bzw. das Root-CA-Zertifikat erneuern, um somit auf SHA2 zu kommen.

    Das alte Root-CA-Zertifikat bleibt noch gültig und somit auch alle von diesem Zertifikat signierten Zertifikate.

    Gruß

    Christian


    Christian Groebner MVP Forefront

    • Als Antwort markiert -- Chris -- Mittwoch, 4. Mai 2016 09:10
    Mittwoch, 4. Mai 2016 07:00
  • Hallo Christian,

    den Umstieg von SHA1 auf SHA2 habe ich bereit erfragt. Scheint überschaubar zu schein.

    https://blogs.technet.microsoft.com/pki/2013/09/19/upgrade-certification-authority-to-sha256/<o:p></o:p>


    du meinst also es würden nach dem Umstieg eher noch alle ausgerollten Zertifikate funktionieren?


    Chris

    Mittwoch, 4. Mai 2016 07:19
  • Hi,

    ja, die müssten weiterlaufen. Da du das CA-Zertifikat nur erneuerst und das "alte" noch eine Gültigkeit bis Datum X hat, somit laufen auch die bereits ausgestellten Zertifikate weiter.

    Gruß

    Christian


    Christian Groebner MVP Forefront

    • Als Antwort markiert -- Chris -- Mittwoch, 4. Mai 2016 09:10
    Mittwoch, 4. Mai 2016 08:15
  • das alleine reicht scheinbar nicht

    certutil -setreg ca\csp\CNGHashAlgorithm SHA256

    net stop certsvc

    net start certsvc

    renew des Root Zertifikates ist auch noch erforderlich.

    https://www.frankysweb.de/migration-stammzertifizierungsstelle-sha1-zu-sha256-hashalgorithmus/


    Chris

    Mittwoch, 4. Mai 2016 09:02
  • Hi,

    hab ich ja geschrieben, dass du das Root-Zertifikat erneuern musst. Durch die Umstellung kannst du das vorhandene Zertifikat nicht ändern, du musst ein Neues ausstellen.

    Und da du das alte nicht sperrst, sind die bereits ausgestellten Zertifikate weiterhin gültig.

    Gruß

    Christian 


    Christian Groebner MVP Forefront

    Mittwoch, 4. Mai 2016 09:09