Root CA inkl. aller Server Zertifikate erneuert - Frage zu Linuxclients und Keycloak

UCS - Univention Corporate Server
,
#1

Hallo Leute,

nachdem das Erste mal hier die 5 Jahre fast um sind, habe ich laut der Dokumentation die RootCA und alle Server/Clientzertifikate verlängert. Das hat auch sehr gut funktioniert. Glaub ich… Selbsttests sind ok. Na jeden Falls stellen sich mir jetzt ein paar Fragen:

  1. Bei Linuxclients hab ich das CA unter /etc/univention/ssl/ucsCA/CAcert.pem getauscht, genügt das?
  2. Bei Windowsclients habe ich nichts gemacht.
  3. Bei Keycloak auch nicht, die Url "https://ucs-sso-ng.osit.cc/realms/master/protocol/openid-connect/auth?" zeigt das richtige Zertifikat, somit sollte es passen… simple Saml PHP verwende ich nicht mehr, somit muss ich auch hier nichts extra tun?
  4. Am 30.7 laufen die alten Certs aus. Wie kann ich prüfen ob ich richtig gearbeitet habe, damit ich dort keine böse Überraschung erlebe?

5.0-7 errata1032

Vielen lieben dank :slight_smile:

#2

Hi,

also ich musste bei der letzten Erneuerung das alte CA-Zertifikat auf den Windows-Clients explizit löschen nachdem ich das neue importiert hatte. Sonst hat sich Firefox mit aktivierten System-Zertifikat beschwert, dass da zwei ähnliche Root-Ca-Zertifikate befinden, oder so ähnlich.

Viele Grüße
Ulf

#3

Dank dir. Ja die habe ich bereits ausgetauscht. Merkt man ja zuerst nicht, weil das alte ja noch gültig ist. Was ich dann doch etwas komisch fand war das trotz neuer RootCA am Client alles sauber und grün scheint. Da sollte doch das alte CA-Zertifikat ja dann nicht mehr passen… :thinking: oder gibt es da noch ne CA von der CA…

#4

Das alte CA-Zertifikat ist so lange gültig, wie die Laufzeit ist. Das Vertrauen hast DU ja dem PC bestätigt, da Du es in den Vertrauenswürdigen Store importiert hat. Der PC würde es nur von alleine mitbekommen, wenn er selbständig die evtl. vorhandene Sperrliste prüft, die für ihn erst einmal erreichbar sein muss UND Du das alte Zertifiat zurückgezogen hast.

Ansonsten ist das CA-Zertifikat so lange gültig, wie die Laufzeit ist.

Die rootCA von UCS ist im UCS-Universum die höchste CA-Stelle. Das erkennt man auch daran, dass sich die die rootCA das eigene Zertifikat selber ausgestellt hat.

Eine höhere Stelle gäbe es nur, wenn Du öffentliche Zertifikate in das UCS-Universum einführst. Das ist vmtl. nur mit erhöhtem Aufwand möglich.

#5

Ich glaub dann sollte es passen. Sonst würde ja eh nix mehr funktionieren.

Danke

Mastodon