CA-Zertifikat erneuern

Blackmagic · 18. Oktober 2010

Heiho

Unser CA-Zertifikat läuft in ein paar Wochen ab. Nun soll das ganze erneuert werden. So weit, so gut.
Nun die Frage worauf ich bisher leider keine Antwort gefunden habe:
Müssen die Clients das erneurte Zertifikat installieren oder checken die Clients das selber, dass ihr Zertifikat, welches ja datiert ist, nun verlängert wurde?

Merci

edith: Zur Info: Bei den Clients ist das ganze bei den vertrauenswürdigen stammzertifizierungsstellen installiert.

made00 · 18. Oktober 2010

CA - Antivirus?

GP · 18. Oktober 2010

Ich gehe davon aus, dass nicht das bestehende Zertifikat verlängert, sondern ein neues erstellt wird und das demzufolge bei allen Clients neu installiert werden muss.

Blackmagic · 18. Oktober 2010

Zitat

Original von made00
CA - Antivirus?

örrrm?! CA = Certification Authority

GP: Mh, das weiss ich eben auch nicht. Logischerweise sollte ja das bestehende erneuert werden. So verzapfts zumindest der CA Dienst @ "Renew CA Certificate". Wenns ein neues geben sollte, dann ists glaube ich klar. ^^

Mannyac · 18. Oktober 2010

Kein offizielles, kostenpflichtiges Zertifikat nehme ich an? Dann musst du es neu installieren auf den Clients.

Blackmagic · 18. Oktober 2010

Schnell zur Ergänzung, da ich das Gefühl habe, dass es nicht ganz Verstänldich ist ^^

Unsere SSL Zertifikate werden von uns selber signiert über eben den Certification Authority.
Und nun, nach 5 Jahren, läuft das root Zertifikat des CA aus.
Eben dieses root Zertifikat wurde bei den Clients als "Vertrauenswürdige Stammzertifizierungsstelle" eingebunden.

Nun eben die Frage: Muss bei den Clients das neu gemacht werden wenn das CA Zertifikat erneuert wird (NICHT neu erstellt sondern per "Renew CA Certificate").

Weil wenn das so ist ist der Aufwand inzwischen viel grösser als sich eben bei einer der Zertifizierungsstellen die SSL Zertifikate zu holen ^^

rediculum · 18. Oktober 2010

ich würd mal sagen "ja" und zwar genau deshalb:

Zitat

Eben dieses root Zertifikat wurde bei den Clients als "Vertrauenswürdige Stammzertifizierungsstelle" eingebunden.

falls ihr eine neue strategie auswählt. schau mal ob cacert.org in frage kommt. die ganze ETH zürich ist damit ausgestattet. kommt wesentlich günstiger als tausende von $ auszugeben zb. für verisign oder thawte.
ich nutz für mich privat auch cacert

Blackmagic · 18. Oktober 2010

Genau deshalb würde ich auch sagen Ja. Aber ich bin mir, wie gesagt, nicht sicher ob die Clients selber begreifen, dass das gleiche Zertifikat immernoch gilt weil es erneuert wurde... vorausgesetzt es wird kein komplett neues erstellt.

Zu cacert.org -> Wo ist da der Unterschied zu einem eigenen CA-Server?! Das ganze muss ja immernoch installiert werden und genau das wollen wir verhindern. Die User sind alles 08/15 User -> Sobald ein Popup oder ähnliches kommt geraten sie in Panik ^^

Santa · 18. Oktober 2010

Bei ner internen CA musst du das erneuerte Root-Zertifikat auf allen Clients neu installieren. Die Verteilung kannst du allerdings auch mit einer Gruppenrichtlinie lösen, das erspart dir viel Aufwand.

Benötigt ihr die SSL-Zertifikate für interen oder externe Adressen?
Bei externen könnt ihr z.B. rapidssl oder godaddy verwenden, die wären nicht so teuer. Interne Adressen aus einer domain wie test.local wirst du bei solchen SSL-Anbietern gar nicht verwenden können.

rediculum · 19. Oktober 2010

wenn es eh intern ist, frag ich mich wieso ihr nur 5 jahres zertifikate gemacht habt und nicht gleich 30 oder so.

Peter Craft · 19. Oktober 2010

Hat wahrscheinlich der Vor- Vorgänger bockmist gebaut

Blackmagic · 19. Oktober 2010

Urrm nicht von vermutungen anderer auf tasachen schliessen
Das ganze ist sehr wohl nicht nur Intern. Greifen um die 100 Kunden darauf zu ^^

Santa · 25. Oktober 2010

Für welche Lösung habt ihr euch nun entschieden?