Sådan slettes en certifikatmyndighed korrekt

sikring af kommunikation via digitale certifikater er blandt de mest sikre processer, der bruges af organisationer i dag. Brugen af public key kryptografi gør certifikater uncrackable og kan bruges til at beskytte utallige netværksoperationer.

selvfølgelig falder ethvert netværk, der ikke skrider frem, bagud, og på et tidspunkt skal det opdateres. Der kan være et tilfælde, hvor behovet for at erstatte eller slette en gammel certifikatmyndighed (CA) bliver en prioritet, så vi undersøger vigtigheden og processen med at nedlægge en forældet CA.

betydningen af CA organisation

som med de fleste ting i livet er det en fremragende strategi for lang levetid og høj ydeevne at holde dine netværkskomponenter (i dette tilfælde CA) organiseret. Over tid kan dette omfatte udskiftning af din CA, fordi du vil opgradere til en ny leverandør, ikke længere har brug for et ældre system eller et utal af andre grunde, du måtte have. Det er vigtigt at slette en gammel CA fuldt ud på grund af den forvirring, det kan forårsage i dit netværk, hvis det ikke er berørt.

et af de mest umiddelbare problemer, som netværksbrugere vil løbe ind i, hvis en CA slettes forkert, er problemer med godkendelse. CA underskriver certifikater og under godkendelsesprocessen, og signaturen kontrolleres for at sikre, at certifikatet kommer fra en betroet CA-kilde. Hvis denne CA-signatur ikke længere er gyldig, brugere kan ikke godkende og vil blive forvirrede, fordi de ikke ændrede noget ved deres proces og ikke er i stand til at komme online.

det er især vigtigt at slette en rod CA korrekt fra netværket. Root CA signerer certifikater, der distribueres til slutbrugere til godkendelse, og disse certifikater kan indstilles til at vare i årevis. Hvis root CA ikke slettes korrekt, og certifikater ikke tilbagekaldes, kan du ende i en situation, hvor en gammel root CA stadig er teknisk aktiv, og brugere, der har et certifikat underskrevet af det, kan få adgang til netværket, når de skal nægtes. Dette kan føre til alvorlige forstyrrelser i tjenesten eller et potentielt sikkerhedsbrud.

et vigtigt trin i rengøring af en gammel CA er at fjerne CA-tilmeldingsobjektet, så brugerne ikke længere kan forsøge at tilmelde sig et certifikat fra den CA. Hvis en gammel CA stadig giver brugerne mulighed for at forsøge at tilmelde sig et certifikat, vil det medføre store afmatninger under overgangen til en ny CA. Dette er især vigtigt for Active Directory (AD) – klienter, da annoncen automatisk forsøger at tilmelde dem til et certifikat, hvis tilmeldingsobjektet stadig er aktivt.

rengøring og sletning af en forældet CA

processen med at slette en gammel CA og rense netværket af det er ikke en alt for kompleks proces, men det kræver nøjagtighed. Hvis der ikke tages visse trin, og detaljer går glip af, vil det føre til, at mange forvirrede brugere og sikkerhedssårbarheder forbliver åbne.

nedenfor har vi detaljeret de overordnede trin til at slette en CA fra dit netværk.

• tilbagekald alle certifikater bundet til CA
  • der kan ikke være langvarige certifikater i hænderne på servere, brugere, enheder osv.
• føje alle certifikater til en Certifikattilbagekaldelsesliste (CRL)
  • sørg for, at listen offentliggøres og testes
• Annuller eventuelle ventende certifikatanmodninger
  • der kan ikke udstedes nye certifikater, der er underskrevet af denne CA
• Eliminer certifikattjenester relateret til CA
  • dette inkluderer handlinger som at slette den private nøgle og fjerne certifikatskabeloner, der er knyttet til CA

processen kan ikke være hurtig, men grundighed afspejler positive resultater. Hvis du helt fjerner alt, der er forbundet med CA, har du ingen problemer med at erstatte det. Mens indviklingen i processen kan variere mellem forskellige CA-leverandører, forbliver de overordnede trin for at fuldføre sletningen de samme. Linket her er et detaljeret kig på ca-fjernelsesprocessen for dem med en Vinduesbaseret CA.

toppen af linjen certifikat tjenester med sikkerhed2

hvis du ønsker at slette en gammel CA og erstatte den med noget nyt, er S2S PKI-tjenester uden sidestykke for brugeroplevelse og sikkerhed. Vores nøglefærdige PKI kan hurtigt oprette en CA, der skal bruges til godkendelse, eller let integreres med netværksinfrastruktur fra enhver større leverandør, inklusive ad CS. Så hvis du leder efter en erstatning for certifikattjenester fra AD, skal du ikke lede længere end Securev2.

Securev2s administrationsportal giver administratorer mulighed for nemt at se og administrere alle certifikater på netværket. Tilbagekaldelse er en hurtig proces, eller du kan se alle godkendelses-og tilmeldingsbegivenheder og fjernfejlfinding af eventuelle problemer, som brugerne måtte støde på.

et af de vigtigste problemer, som organisationer støder på med certifikater, er, hvordan man effektivt distribuerer dem til slutbrugere. Onboarding-løsningen giver brugerne mulighed for selv at konfigurere enhver enhed i løbet af få minutter og være klar til godkendelse med det samme. Det hjælper enormt med at gøre hele PKI-tjenesterne ekstremt skalerbare. Det kan nemt bruges af en organisation af enhver størrelse og vokser med dig over tid.

Securev2 tilbyder et stort udvalg af certifikattjenester, fra RADIUSGODKENDELSE og så meget imellem. Hvis du har brug for at komme videre fra en forældet CA, har du dækket med en række muligheder og certifikatfunktioner. Tjek vores prisside for at se, om vores PKI kunne passe til dit netværks behov.