Re: CA.pl - Zertifikate
Hi Mirco,
Miro Dietiker, MD Systems wrote:
> Hallo zusammen
> Aufgrund Sicherheitsrelevanten Gedanken wollte ich eigentlich auf der
> Maschine X mehrere Zertifikate produzieren (eines für FTP, IMAP, …), mit
> CA.pl scheint das allerdings nicht zu gehen! Die Überlegung war dabei
> dass bei der Kompromittierung eines Services nicht gleich der PrivateKey
> jedes anderen Services auch bekannt ist... Liege ich falsch?
es gibt einige Gründe, weswegen man mehrere Zertifikate für
unterschiedliche Dienste erzeugt. Das ist also eine gute Idee.
> Wenn man mit CA.pl ein neues Zertifikat generiert mit demselben CN,
> führt das einfach zu einem Fehler.
Zertifikate erzeuge ich mit openssl. Es gibt aber mittlerweile auch
schöne grafische Tools, z.B. TinyCA
> Wie wird ein Zertifikat 'erneuert'?
> Für die Erneuerung der Zertifikate ist mir auch noch einiges nicht klar.
> Wie verlängere ich ein Zertifikat? Nimmt man dabei die ursprüngliche
> Request und unterschreibt sie einfach wieder?
Gar nicht und nein.
> Wie macht man dasselbe bei der CA? Kann man die Files kombinieren,
> damit man während der Übergangsphasen zwei Zertifikate in diesem File
> hat?
Ein Zertifikat hat eine Gültigkeitsdauer, danach wird es immer
wertloser. Deswegen gibt es eine Gültigkeitsdauer.
Es wird also nach Ablauf der Dauer einfach ein neus Zertifikat erzeugt.
Und zwar komplett, also natürlich incl. Schluesselpaar.
Wenn Du nur Zertifikate für Dienste verwendest, brauchst Du das alte
Zertifikat nach dem Erzeugen eines Neuen nicht mehr.
Sind allerdings Daten damit geschützt, muss Du das Alte natürlich
solange aufbewaren, bis die Daten für Dich keinen Wert mehr darstellen.
-Joerg
Reply to: