Hur man korrekt tar bort en certifikatutfärdare
att säkra kommunikation via digitala certifikat är bland de säkraste processerna som används av organisationer idag. Användningen av kryptering med offentlig nyckel gör certifikat okrackbara och kan användas för att skydda otaliga nätverksoperationer.
naturligtvis faller alla nätverk som inte går framåt, och någon gång måste det uppdateras. Det kan finnas en instans där behovet av att ersätta eller ta bort en gammal certifikatutfärdare (CA) blir en prioritet, så vi kommer att undersöka vikten och processen att avveckla en föråldrad CA.
betydelsen av CA organisation
som med de flesta saker i livet är det en utmärkt strategi för livslängd och hög prestanda att hålla dina nätverkskomponenter (i detta fall CA) organiserade. Med tiden kan det innebära att du byter ut din CA eftersom du vill uppgradera till en ny leverantör, inte längre behöver ett äldre system eller en mängd andra orsaker Du kan ha. Det är viktigt att helt ta bort en gammal CA på grund av den förvirring det kan orsaka i ditt nätverk om det lämnas orört.
ett av de mest omedelbara problemen som nätverksanvändare kommer att stöta på om en CA raderas felaktigt är problem med autentisering. Certifikatutfärdaren signerar certifikat och under autentiseringsprocessen kontrolleras signaturen för att säkerställa att certifikatet kommer från en betrodd certifikatutfärdare. Om den CA-signaturen inte längre är giltig kommer användarna inte att kunna autentisera och kommer att förväxlas eftersom de inte ändrade någonting om sin process och inte kan komma online.
det är särskilt viktigt att korrekt ta bort en rot CA från nätverket. Rotcertifikatutfärdaren signerar certifikat som distribueras till slutanvändare för autentisering och dessa certifikat kan ställas in för att hålla i flera år. Om rotcertifikatutfärdaren inte raderas korrekt och certifikat inte återkallas kan du hamna i en situation där en gammal rotcertifikatutfärdare fortfarande är tekniskt aktiv och användare som har ett certifikat undertecknat av den kan komma åt nätverket när de ska nekas. Detta kan leda till allvarliga störningar i tjänsten eller ett potentiellt säkerhetsbrott.
ett viktigt steg i rengöring av en gammal CA är att eliminera ca-registreringsobjektet så att användare inte längre kan försöka registrera sig för ett certifikat från den CA. Om en gammal certifikatutfärdare fortfarande tillåter användare att försöka registrera sig för ett certifikat, kommer det att orsaka stora avmattningar under övergången till en ny certifikatutfärdare. Detta är särskilt viktigt för Active Directory-klienter (AD) eftersom annonsen automatiskt försöker registrera dem för ett certifikat om registreringsobjektet fortfarande är aktivt.
rengöring och radering av en föråldrad CA
processen att radera en gammal CA och rengöra nätverket av det är inte en alltför komplex process, men det kräver noggrannhet. Om vissa åtgärder inte vidtas och detaljer saknas kommer det att leda till att många förvirrade användare och säkerhetsproblem lämnas öppna.
nedan har vi beskrivit de övergripande stegen för att framgångsrikt ta bort en CA från ditt nätverk.
- återkalla alla certifikat knutna till CA
- det kan inte finnas några kvardröjande certifikat i händerna på servrar, användare, enheter, etc.
- Lägg till alla certifikat i en Certifikatåterkallande lista (CRL)
- se till att listan publiceras och testas
- Avbryt eventuella väntande certifikatförfrågningar
- inga nya certifikat kan utfärdas som är signerade av denna certifikatutfärdare
- eliminera certifikattjänster relaterade till certifikatutfärdaren
- detta inkluderar åtgärder som att ta bort den privata nyckeln och ta bort certifikatmallar som är associerade med certifikatutfärdaren
processen kanske inte är snabb, men grundligheten återspeglar positiva resultat. Om du helt tar bort allt som hör samman med CA, har du inga problem att ersätta det. Medan processens invecklingar kan variera mellan olika CA-leverantörer, förblir de övergripande stegen för att slutföra raderingen desamma. Länkad här är en detaljerad titt på ca-Borttagningsprocessen för dem med en Windows-baserad CA.
överst på raden certifikattjänster med SecureW2
om du vill ta bort en gammal CA och ersätta den med något nytt, är Securew2s PKI-tjänster oöverträffade för användarupplevelse och säkerhet. Vår nyckelfärdiga PKI kan snabbt skapa en CA som ska användas för autentisering, eller enkelt integreras med nätverksinfrastruktur från någon större leverantör, inklusive AD CS. Så om du letar efter en ersättare för certifikattjänster från AD, leta inte längre än SecureW2.
SecureW2 management portal gör det möjligt för administratörer att enkelt visa och hantera alla certifikat i nätverket. Återkallande är en snabb process, eller så kan du visa alla autentiserings-och registreringshändelser och fjärrfelsöka eventuella problem som användare kan stöta på.
en av de viktigaste frågorna som organisationer stöter på med certifikat är hur man effektivt distribuerar dem till slutanvändare. JoinNow onboarding-lösningen tillåter användare att självkonfigurera vilken enhet som helst på några minuter och vara redo för autentisering omedelbart. Det hjälper oerhört att göra hela PKI-tjänsterna extremt skalbara. Den kan enkelt användas av en organisation av alla storlekar och växer med dig över tiden.
SecureW2 erbjuder ett stort utbud av certifikattjänster, från RADIUS-autentisering och så mycket däremellan. Om du behöver gå vidare från en föråldrad CA, SecureW2 har du täckt med en mängd olika alternativ och certifikatfunktioner. Kolla in vår prissättningssida för att se om vår PKI kan passa ditt nätverks behov.
Leave a Reply