Ausgangssituation:
Für den automatische Zertifikatsbezug via MPKI soll der Zertifikatsanbieter (CA) gewechselt werden.
Frage:
1.Was passiert mit den bestehenden Zertifikaten des alten Anbieters?
Antwort:
Sofern die Zertifikate nicht zurückgewiesen (revoked) werden, bleiben sie bis zum Ende der Laufzeit (validity) gültig.
2.Werden ablaufende Zertifikate der alten CA – oder auch manuell importierte – automatisiert durch neue Zertifikate der aktuell in der MPKI eingestellten CA automatisch erneuert?
Antwort:
Sofern das automatische Erneuern von Zertifikaten (Automatically renew expiring certificates if validity days left less than) in den MPKI-Einstellungen des jeweiligen Anbieters aktiviert ist, spielt es keine Rolle, welche CA das ablaufende Zertifikat erstellt hat. Der Erneuerungsprozess orientiert sich ausschliesslich an der Gültigkeit des jeweils vorhandenen Zertifikats mit der längsten Laufzeit.
Ausnahme:
Self-Signed Zertifikate, siehe Hinweis zur Option (Automatically renew expiring certificates if validity days left less than) des jeweiligen MPKI Anbieters.
|
Nachdem die abzulösende CA nach dem Ändern der MPKI-Konfiguration durch das SEPPmail Secure E-Mail Gateway nicht mehr erreichbar ist, ist ein Revozieren der Zertifikate dieser CA über das SEPPmail Secure E-Mail Gateway nicht mehr möglich. Besteht der Wunsch, ab dem Zeitpunkt des Umstellens mit Zertifikaten des neuen Anbieters zu arbeiten, so müssten •die Zertifikate des abzulösenden Anbieters noch vor dem Ändern der Konfiguration revoziert werden •nach dem Ändern der Konfiguration für alle Benutzer der Neubezug von Zertifikaten über die Option Automatically create certificates for active users without certificates in den MPKI-Einstellungen des aktuellen Anbieters angestossen werden
|
