Questões sobre certificados de troca

1

Eu recebi a seguinte mensagem The STARTTLS certificate will expire soon . Agora tentei criar novos certificados, mas atualmente os antigos ainda são usados.

Perguntas:

  • Posso fazer backup do certificado antigo de alguma forma (no caso de eu remover um, mas perder uma coisa)?
  • Um serviço pode ser atribuído a apenas um certificado? (Sempre recebo a notícia de que outro certificado está recebendo prioridade) E posso excluir o outro com o mesmo serviço atribuído?
  • Posso excluir certificados com o status DateInvalid ?
  • Posso excluir certificados sem serviços atribuídos?

Agora os certificados que devem ser substituídos.

Caso 1:

Antigo:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {Sites, servername.domain.local}
HasPrivateKey      : True
IsSelfSigned       : False
Issuer             : CN=domain-servername-CA
NotAfter           : 24.08.2012 08:55:23
NotBefore          : 25.08.2010 08:55:23
PublicKeySize      : 2048
RootCAType         : Registry
SerialNumber       : 486D0BC600000000500C
Services           : IIS, SMTP
Status             : Valid
Subject            : CN=Sites
Thumbprint         : 5XY3E4589CDEE54C1FB9C1745XC351D8C74D

Substituição:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
                     ssControl.CryptoKeyAccessRule}
CertificateDomains : {Sites, servername.domain.local}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : CN=Sites
NotAfter           : 30.07.2017 12:41:34
NotBefore          : 30.07.2012 12:41:34
PublicKeySize      : 2048
RootCAType         : None
SerialNumber       : AAFC94772E6BFF8E4AE9812226240927
Services           : IIS, SMTP
Status             : Valid
Subject            : CN=Sites
Thumbprint         : 98732EASYDFGC4336430DEDE729EE0D575C0

Diferenças notáveis:

  • auto-assinado é verdadeiro
  • o emissor é diferente
  • duas vezes: System.Security.AccessControl.CryptoKeyAccessRule

Caso 2:

Antigo:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {mail.domain.com, many further domains}
HasPrivateKey      : True
IsSelfSigned       : False
Issuer             : CN=servername-domain-CA
NotAfter           : 17.08.2012 15:37:50
NotBefore          : 18.08.2010 15:37:50
PublicKeySize      : 2048
RootCAType         : Registry
SerialNumber       : 56329D6600000000000D
Services           : IMAP, POP, SMTP
Status             : Valid
Subject            : CN=mail.domain.com, OU=Technics, O=Organisation, L=Location, C
                     =CC
Thumbprint         : A8329DCD493FLIE2E3C9AF2E7577ADD6EF669

Substituição:

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System
                     .Security.AccessControl.CryptoKeyAccessRule, System.Securi
                     ty.AccessControl.CryptoKeyAccessRule, System.Security.Acce
                     ssControl.CryptoKeyAccessRule}
CertificateDomains : {mail.domain.com, many further domains}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : C=CC, L=Location, O=Organisation, OU=Technics, CN=mail.domain
                     .com
NotAfter           : 30.07.2017 12:17:33
NotBefore          : 30.07.2012 12:17:33
PublicKeySize      : 2048
RootCAType         : None
SerialNumber       : A9A4E319D016B296488457C8FB7DF8B7
Services           : IMAP, POP, SMTP
Status             : Valid
Subject            : C=CC, L=Location, O=Organisation, OU=Technics, CN=mail.domain
                     .com
Thumbprint         : 83EKDFKLIO483ZH94F2C84B7DA16DC3C05875D

Diferenças notáveis:

  • auto-assinado é verdadeiro
  • o emissor é diferente
  • duas vezes: System.Security.AccessControl.CryptoKeyAccessRule
  • a ordem do assunto é diferente

Agora, minha pergunta para esses certificados:

  • Posso ignorar as diferenças?
  • Para as substituições: Posso excluir os certificados antigos e todos ainda funcionariam (por exemplo, o Outlook Web Access)?
por testing 03.08.2012 / 10:11

1 resposta

1

Para o Exchange 2007, você pode usar essa ferramenta do U-BTech para gerenciar seus certificados. Eles têm um guia de captura de tela. link

Para responder à sua pergunta:

  1. Você pode ignorar as diferenças > NÃO.
  2. Você pode excluir o certificado antigo > Você não deve excluir o antigo certificado de um provedor terceirizado e substituí-lo por um certificado autoassinado.

Você desejaria manter o certificado que tem IsSelfSigned: False para o TLS funcionar. Além disso, você precisará renovar o certificado emitido por terceiros do fornecedor de certificados para o "Antigo", pois ele expira em uma semana.

PS: Você não deve postar seu Cert Serial e Thumbprint nos Tubos:)

    
por 11.08.2012 / 00:15