CA-Zertifikat erneuern

  • Heiho


    Unser CA-Zertifikat läuft in ein paar Wochen ab. Nun soll das ganze erneuert werden. So weit, so gut.
    Nun die Frage worauf ich bisher leider keine Antwort gefunden habe:
    Müssen die Clients das erneurte Zertifikat installieren oder checken die Clients das selber, dass ihr Zertifikat, welches ja datiert ist, nun verlängert wurde?


    Merci :)


    edith: Zur Info: Bei den Clients ist das ganze bei den vertrauenswürdigen stammzertifizierungsstellen installiert.

    "Es gibt auf der Welt drei Dinge wo Du sinnlos Kohle verpuffen kannst: Frauen, Computer und Autos."
    Sinclair

    2 Mal editiert, zuletzt von Blackmagic ()

  • Ich gehe davon aus, dass nicht das bestehende Zertifikat verlängert, sondern ein neues erstellt wird und das demzufolge bei allen Clients neu installiert werden muss.

  • Zitat

    Original von made00
    CA - Antivirus?


    örrrm?! CA = Certification Authority


    GP: Mh, das weiss ich eben auch nicht. Logischerweise sollte ja das bestehende erneuert werden. So verzapfts zumindest der CA Dienst @ "Renew CA Certificate". Wenns ein neues geben sollte, dann ists glaube ich klar. ^^

    "Es gibt auf der Welt drei Dinge wo Du sinnlos Kohle verpuffen kannst: Frauen, Computer und Autos."
    Sinclair

    Einmal editiert, zuletzt von Blackmagic ()

  • Kein offizielles, kostenpflichtiges Zertifikat nehme ich an? Dann musst du es neu installieren auf den Clients.

    Signatur sein ist doof, ich will ein Avatar werden, wenn ich gross bin!

  • Schnell zur Ergänzung, da ich das Gefühl habe, dass es nicht ganz Verstänldich ist ^^


    Unsere SSL Zertifikate werden von uns selber signiert über eben den Certification Authority.
    Und nun, nach 5 Jahren, läuft das root Zertifikat des CA aus.
    Eben dieses root Zertifikat wurde bei den Clients als "Vertrauenswürdige Stammzertifizierungsstelle" eingebunden.


    Nun eben die Frage: Muss bei den Clients das neu gemacht werden wenn das CA Zertifikat erneuert wird (NICHT neu erstellt sondern per "Renew CA Certificate").


    Weil wenn das so ist ist der Aufwand inzwischen viel grösser als sich eben bei einer der Zertifizierungsstellen die SSL Zertifikate zu holen ^^

    "Es gibt auf der Welt drei Dinge wo Du sinnlos Kohle verpuffen kannst: Frauen, Computer und Autos."
    Sinclair

  • ich würd mal sagen "ja" und zwar genau deshalb:

    Zitat


    Eben dieses root Zertifikat wurde bei den Clients als "Vertrauenswürdige Stammzertifizierungsstelle" eingebunden.


    falls ihr eine neue strategie auswählt. schau mal ob cacert.org in frage kommt. die ganze ETH zürich ist damit ausgestattet. kommt wesentlich günstiger als tausende von $ auszugeben zb. für verisign oder thawte.
    ich nutz für mich privat auch cacert

  • Genau deshalb würde ich auch sagen Ja. Aber ich bin mir, wie gesagt, nicht sicher ob die Clients selber begreifen, dass das gleiche Zertifikat immernoch gilt weil es erneuert wurde... vorausgesetzt es wird kein komplett neues erstellt.


    Zu cacert.org -> Wo ist da der Unterschied zu einem eigenen CA-Server?! Das ganze muss ja immernoch installiert werden und genau das wollen wir verhindern. Die User sind alles 08/15 User -> Sobald ein Popup oder ähnliches kommt geraten sie in Panik ^^

    "Es gibt auf der Welt drei Dinge wo Du sinnlos Kohle verpuffen kannst: Frauen, Computer und Autos."
    Sinclair

  • Bei ner internen CA musst du das erneuerte Root-Zertifikat auf allen Clients neu installieren. Die Verteilung kannst du allerdings auch mit einer Gruppenrichtlinie lösen, das erspart dir viel Aufwand.


    Benötigt ihr die SSL-Zertifikate für interen oder externe Adressen?
    Bei externen könnt ihr z.B. rapidssl oder godaddy verwenden, die wären nicht so teuer. Interne Adressen aus einer domain wie test.local wirst du bei solchen SSL-Anbietern gar nicht verwenden können.

    Es ist nicht deine Schuld, dass die Welt ist wie sie ist. Es wär nur deine Schuld, wenn sie so bleibt!

  • wenn es eh intern ist, frag ich mich wieso ihr nur 5 jahres zertifikate gemacht habt und nicht gleich 30 oder so.

  • Urrm nicht von vermutungen anderer auf tasachen schliessen ;)
    Das ganze ist sehr wohl nicht nur Intern. Greifen um die 100 Kunden darauf zu ^^

    "Es gibt auf der Welt drei Dinge wo Du sinnlos Kohle verpuffen kannst: Frauen, Computer und Autos."
    Sinclair

  • Für welche Lösung habt ihr euch nun entschieden?

    Es ist nicht deine Schuld, dass die Welt ist wie sie ist. Es wär nur deine Schuld, wenn sie so bleibt!