Delen via

Basis-CA-certificaat vernieuwen

Een basis-CA bevindt zich bovenaan de PKI (Public Key Infrastructure) en geeft een eigen zelfondertekend certificaat uit. Het vernieuwen van het root-CA-certificaat is een essentiële taak om ervoor te zorgen dat uw PKI betrouwbaar en veilig blijft. In dit artikel vindt u informatie over het vernieuwen van een basiscertificaat voor certificeringsinstantie (CA) met behulp van een nieuw of bestaand sleutelpaar. De informatie is geldig voor zowel enterprise-CA als zelfstandige CA.

Voorwaarden

Controleer voordat u begint of u aan de volgende vereisten voldoet:

  • Beheerderstoegang tot de basis-CA-server.
  • Back-up van de CA-database en persoonlijke sleutel.
  • Inzicht in de PKI-hiërarchie en het certificaatbeleid van uw organisatie.

Overzicht van het vernieuwen van basis-CA-certificaten

Wanneer het tijd is om uw basis-CA-certificaat te vernieuwen, gebruikt u uw bestaande openbare en persoonlijke sleutelpaar of genereert u een nieuw openbaar en persoonlijk sleutelpaar. Vernieuwen met een bestaand paar is de eenvoudigste en eenvoudigste benadering. Er kan echter een vereiste zijn om een CA-certificaat te vernieuwen met een nieuw sleutelpaar als:

  • De CA-ondertekening (bestaand CA-sleutelpaar) is aangetast.
  • U hebt een programma waarvoor een nieuwe ondertekeningssleutel moet worden gebruikt met een nieuw CA-certificaat.
  • De huidige certificaatintrekkingslijst (CRL) is te groot en u wilt een deel van de informatie verplaatsen naar een nieuwe CRL.

In de volgende twee secties vindt u een overzicht van de wijzigingen in het certificaat wanneer het wordt vernieuwd met behulp van een nieuw of bestaand sleutelpaar.

Het basis-CA-certificaat vernieuwen met een bestaand sleutelpaar

Wanneer u een CA-certificaat met een bestaand sleutelpaar verlengt, bevat het nieuwe certificaat dezelfde openbare en persoonlijke sleutel. Als gevolg hiervan zijn alle eerder uitgegeven certificaten gekoppeld aan het nieuwe CA-certificaat. En clients koppelen eerder en nieuw uitgegeven certificaten tot nieuw CA-certificaat. Dit komt doordat al deze clientcertificaten zijn ondertekend door dezelfde CA-ondertekeningssleutel en beide CA-certificaten dezelfde handtekening voor de identieke gegevens produceren.

Hier volgt een overzicht van de details die u moet noteren over het nieuwe basis-CA-certificaat:

  • Het nieuwe CA-certificaat vervangt geen eerder CA-certificaat. In plaats daarvan wordt een nieuw bestand toegevoegd en wordt er een certificaatindex toegevoegd aan de bestandsnaam tussen haakjes. Het oude certificaat heeft bijvoorbeeld een naam: RootCA.crten het nieuwe certificaat heeft de naam: RootCA(1).crt.

  • Het nieuwe CA-certificaat heeft dezelfde waarde geldig vanaf als het oude certificaat. Als het oude CA-certificaat bijvoorbeeld geldig is van 08-10-2020 tot 10-08-2025, is het nieuwe certificaat geldig van 08-10-2020 tot 08-10-2030. De verlenging verhoogt de geldigheidsperiode van het CA-certificaat.

  • De hash van het nieuwe CA-certificaat bevat de vingerafdruk van het vorige certificaat waarde.

  • Het nieuwe CA-certificaat wijzigt de CA-versie. De CA-versie-extensie helpt bij het bouwen van de juiste ketens wanneer een CA meer dan één certificaat heeft. Deze extensie bestaat uit twee waarden: de CA Certificate Indexen de CA-sleutelindex. Deze waarden worden gescheiden door punt, bijvoorbeeld: 0.0, 2.1 en 3.3. Telkens wanneer u een CA-certificaat verlengt, wordt de CA-certificaatindex met 1 verhoogd. Omdat het sleutelpaar hetzelfde blijft, neemt de CA-sleutelindex waarde niet toe.

  • De nieuwe CA onderhoudt dezelfde CRL.

Het basis-CA-certificaat vernieuwen met een nieuw sleutelpaar

Verlenging met een nieuw sleutelpaar is complexer en bevat veel wijzigingen in het CA-certificaat. Een nieuwe openbare sleutel produceert een andere onderwerpsleutel-id, die de hash van de openbare sleutel is. Wanneer de CA een nieuw certificaat uitgeeft, wordt aan dat certificaat een onderwerpsleutel-id waarde en een Authority Key Identifier extensie toegekend. De vergelijking van extensies wordt gebruikt door de engine voor certificaatketens (CCE). Als gevolg hiervan zijn de eerder uitgegeven certificaten gekoppeld aan het vorige CA-certificaat en de zojuist uitgegeven certificaten zijn gekoppeld aan respectievelijk het nieuwe CA-certificaat.

Hier volgt een overzicht van de details die u moet noteren over het nieuwe basis-CA-certificaat:

  • Er wordt een nieuwe CRL gegenereerd. De nieuwe CRL bevat alleen de ingetrokken certificaten die zijn ondertekend met behulp van het vernieuwde CA-certificaat of de ondertekeningssleutel en het nieuwe CRL-bestand bevat het CRL-achtervoegsel. De oude CRL heeft bijvoorbeeld de naam RootCA.crlen de nieuwe CRL heeft de naam: RootCA(1).crl. Dit CRL-achtervoegsel wordt onderhouden door de CRLNameSuffix variabelen in CDP-locatie-instellingen en het getal is altijd gelijk aan de waarde van de CA-versie-extensie.

  • In tegenstelling tot de CA-certificaatindex waarde, neemt de CA-sleutelindex niet altijd met 1 toe, maar wordt deze ingesteld op de CA-certificaatindex waarde. Het vorige CA-certificaat heeft bijvoorbeeld de ca-versie-extensie 2.0 en het nieuwe CA-certificaat CA-versie extensie heeft de waarde 3.3.

  • Wanneer u het nieuwe basis-CA-certificaat gebruikt, maar het nog niet is geïmplementeerd voor alle clients, genereert de CA twee kruiscertificaten. Het eerste kruiscertificaat wordt ondertekend door de vorige CA-ondertekeningssleutel en certificeert het nieuwe CA-certificaat. De CCE bouwt certificeringspaden voor eerder en nieuw uitgegeven certificaten, dus beide paden zijn gekoppeld aan alleen het vorige CA-certificaat, omdat het nieuwe CA-certificaat nog niet is geïmplementeerd. Als u beide paden wilt koppelen aan een nieuw CA-certificaat, wordt er een tweede kruiscertificaat gegenereerd. Met het nieuwe CA-certificaat wordt het vorige CA-certificaat in omgekeerde richting gecertificeerd. Met behulp van kruiscertificaten onderhoudt u slechts één basis-CA-certificaat met de mogelijkheid om juiste ketens te bouwen voor elk certificaat dat is uitgegeven door deze CA.

Zodra u het nieuwe CA-certificaat op clients hebt geïmplementeerd, moet het worden gepubliceerd naar de container voor Vertrouwde basiscertificeringsinstanties op de clientcomputer, en pas daarna kunt u het vorige CA-certificaat van clients verwijderen. Hoewel het niet raadzaam is oude CA-certificaten te verwijderen, omdat ze kunnen worden gebruikt tijdens de validatie van digitale handtekeningen van bestanden.

Het basis-CA-certificaat vernieuwen

In deze sectie worden de stappen beschreven voor het vernieuwen van een basis-CA-certificaat.

Stap 1: Een back-up maken van de basis-CA

Begin met het maken van een volledige back-up van uw basis-CA, inclusief de CA-database en persoonlijke sleutels. Dit is van cruciaal belang voor het geval er iets misgaat en u moet wijzigingen terugdraaien.

  1. Selecteer in Serverbeheer Toolsen certificeringsinstantie.
  2. Klik met de rechtermuisknop op de CA-naam, selecteer Alle takenen back-up van CA maken....
  3. Volg de wizard om een back-up te maken van de CA-database en de persoonlijke sleutel.

Stap 2: Het basis-CA-certificaat vernieuwen

  1. Selecteer in Serverbeheer Toolsen certificeringsinstantie.
  2. Klik met de rechtermuisknop op de CA-naam, selecteer Alle takenen CA-certificaat vernieuwen.... een schermopname van de optie voor het vernieuwen van CA-certificaat.
  3. Er wordt een dialoogvenster geopend en u wordt gevraagd of u Active Directory Certificate Services wilt stoppen. Selecteer Ja. een schermopname van het dialoogvenster waarin u wordt gevraagd Active Directory Certificate Services te stoppen.
  4. Kies of u een nieuw sleutelpaar wilt genereren of het bestaande sleutelpaar wilt gebruiken.
    1. Selecteer Ja- om een nieuw sleutelpaar te genereren.
    2. Selecteer Geen om het bestaande sleutelpaar te gebruiken. Een schermopname van het dialoogvenster waarin wordt gevraagd of u een nieuw sleutelpaar wilt genereren of een bestaand sleutelpaar wilt gebruiken.
  5. Bekijk de eigenschappen van de basis-CA en bekijk vervolgens de details van het nieuwe certificaat om te bevestigen dat het succesvol is gemaakt.
    Een schermopname van het eigenschappenvenster voor een basis-CA.

Stap 3: Het nieuwe basis-CA-certificaat distribueren

Nadat u het basis-CA-certificaat hebt vernieuwd, moet u het implementeren op de clients om ze te laten vertrouwen op alle certificaten die zijn uitgegeven door de certificeringsinstantie. Dit proces verschilt, afhankelijk van of u een ondernemings-CA of zelfstandige CA gebruikt.

Bedrijfscertificeringsinstantie

Als u een ondernemings-CA uitvoert, wordt het basiscertificaat automatisch gedistribueerd binnen het domein. Clients ontvangen deze tijdens het vernieuwen van groepsbeleid. Als u dit proces wilt versnellen, kunt u een vernieuwing afdwingen met behulp van de opdrachtprompt: gpupdate /force.

Zelfstandige CA

Met een zelfstandige CA moet u het certificaat exporteren en publiceren naar alle vertrouwde clients. Volg de instructies om het basiscertificaat te distribueren via groepsbeleid. Het kan nodig zijn om het nieuwe certificaat handmatig te distribueren naar apparaten die geen lid zijn van een domein.

Taken na verlenging

Na de wijzigingen controleert u uw omgeving op eventuele problemen met betrekking tot certificaatverificatie of vertrouwensrelatie. Wees voorbereid om problemen snel op te lossen.

  • Controleer of het nieuwe basis-CA-certificaat wordt vertrouwd door alle clients.
  • Controleer de CA op eventuele problemen met betrekking tot het verlengingsproces.

Verwante inhoud