[plastikjoe]

Hallo Gemeinde,

unsere Zertifikatsstelle stellt automatisch jedes Jahr für das AD(Active Directory) 2 neue Zertifikate aus, die scheinbar auch automatisch aktiv geschaltet werden. (Directory Email Replication & Domain Controller Authentication) Blöderweise nutzen nachgelagerte Anwendungen auch diese Zertifikate, was zur Folge hat, das diese dann nicht mehr funktionieren nachdem dieses automatische Aktivieren lief. Dieser Automatismus läuft auch noch mitten in der Nacht. In den nachgelagerten Anwendungen müssen die neuen Zertifikate rein und dies verursacht dann einen Ausfall.(ganz schlecht) Diese Probleme möchte ich gerne vermeiden. Was hat man da für Möglichkeiten? Könnte man die Zertifikate länger als 1 Jahr gültig machen oder definiert wechseln? Danke

[RalphS]

Was sind das denn für Anwendungen, die AD-Zertifikate benötigen und diese nicht aus dem AD / via GPO bekommen (können)?

An den Zertifikaten solltest Du jedenfalls nicht "aus Bequemlichkeit" herumbiegen.

Dieser Beitrag wurde von RalphS bearbeitet: 13. Januar 2015 - 14:01

[plastikjoe]

Anwendungen die auf Linuxservern laufen. Dort wird dann nicht automatisch ausgerollt.

[RalphS]

Ja, offensichtlich nicht.

Halbwegs automatisiert fiele mir da auch nur was Zusammengefrickeltes ein. Man könnte die betreffenden Zertifikate zeitgesteuert exportieren (ggf. per Script) und müßte diese dann via Freigabe auf die Linuxrechner schieben. Die müßten dann mehr oder weniger regelmäßig (oder per inotify&Co) schauen, ob's was Neues gibt und evtl neu vorhandene Zertifikate dann importieren - notfalls auch per Script, indem man die Zertifikatsdateien an den richtigen Ort kopiert und dann einen Symlink so biegt, daß er auf den vom Linux-Dienst erwarteten Dateinamen zeigt.

Das, oder Du verwendest einfach andere Zertifikate.