#10 Verlängern eines Wurzel-Zertifikats (CA-Zertifikats)

[MichaelA]

Hallo zusammen,
nach der Erstellung des CA-Zertifikates und vielen Client-Zertifikaten entsteht die Notwendigkeit über die Laufzeit des CA-Zertifikates hinaus Client-Zertifikate zu erstellen.

Das CA-Zertifikat scheint nicht verlängerbar zu sein (die Kontektmenüeinträge sind inaktiv).
Ist dies ein Bug oder ein Feature?

Irgendwie findet man überall Anleitungen, wie man mit openssl eigene CA's aufbaut - aber nirgends ist beschrieben, wie es 1-2 Jahre vor Ablauf des CA-Zertifikates weiter geht.

Hat jemand eine Idee?

Viele Grüße, Michael

[Christian Hohnstaedt]

Man kann entweder
1) ein neues CA Zertifikat erstellen und zukünftig dieses für neue Client Zertifikate verwenden, oder
2) das Alte verlängern indem man es in ein Template "exportiert" und dann aus dem Template ein neues Zertifikat mit dem selben Schlüssel erstellt. Dabei darauf achten, dass man eine noch nicht verwendete Seriennummer nimmt (weder die vom alten CA Zertifikat noch von einem von dieser CA ausgestellten Zertifikats).

In letzterem Fall sollten die bereits ausgestellten Zertifikate auch als von der neuen CA ausgestellt akzeptiert werden.

Das Hauptproblem aber ist in beiden Fällen organisatorischer Art:
Man muss dieses neue CA Zertifikat an allen Stellen als vertrauenswürdig installieren, so wie damals das alte CA Zertifikat.
Dabei kann XCA nicht helfen.

[Harald Dunkel]

Sicherlich bin ich kein Spezialist fuer Kryptographie, deshalb waere ich sehr an der Klaerung dieses Punktes interessiert: Spricht irgendetwas gegen das renewal eines selbst-signierten Zertifikats (vorausgesetzt, der Key wurde nicht kompromitiert)?