Adicione CA de emissão a CA raiz online do Windows 2008 r2

1

temos uma CA raiz interna autônoma que emite o certificado para o nosso domínio mycompany.com. Temos vários certificados instalados em toda a empresa a partir desta CA. O problema que enfrentamos é que temos uma VPN cisco que precisa confiar nessa CA para a VPN de dispositivo móvel, mas retornar um erro, pois a data de expiração da CA raiz vai além do ano 2038 e não a aceita. Agora a questão é como contornar isso? Se eu renovar a CA raiz com a mesma chave privada / pública e a data de expiração antes do ano 2038, precisarei renovar o certificado já emitido por essa CA? A segunda opção que estamos examinando é instalar uma CA de emissão subordinada. Nesse caso, a pergunta é se essa CA poderá emitir o certificado para o nome de domínio mycompany.com? Qualquer sugestão sobre como sair dessa bagunça do especialista em PKI seria apreciada.

    
por Cividan 03.10.2014 / 17:30

1 resposta

1

Em relação à sua primeira resposta, estou sempre me perguntando isso. Eu testaria este cenário muito específico em seu laboratório! Acho que deve ser possível renovar o certificado com as mesmas chaves, mas com outra data de validade.

Em relação à CA de emissão (online) Sua VPN cisco deve verificar a cadeia de confiança até a CA raiz e depois reclamar sobre o período de validade da CA raiz.

Assim, você precisa renovar a CA raiz com as mesmas chaves e um período de validade mais curto OU precisa configurar uma segunda autoridade de certificação.

    
por 04.10.2014 / 11:49