Rechenzentrum
Ablösung von SHA-1 in Serverzertifikaten / Weitere Informationen
22. September 2014, von Netzgruppe
Weitere Informationen zu den Plänen von Microsoft und Google bezüglich der Unterstützung von SHA-1 signierten Zertifikaten finden Sie im Blog der DFN-PCA - Kompatibilitätsliste SHA-2.
Weitere Informationen zu den Plänen von Microsoft und Google bezüglich der Unterstützung von SHA-1 signierten Zertifikaten finden Sie im Blog der DFN-PCA - Kompatibilitätsliste SHA-2.
Bitte beachten Sie, dass Windows Server 2003 nur mit Hotfixes kompatibel mit SHA-2-Zertifikaten ist (DFN FAQ "14. Was ist bei Windows Server 2003 zu beachten?").
Durch das Ersetzen von Serverzertifikaten und das Neu-Installieren der Zertifikatkette erhalten Sie automatisch eine Konfiguration, die sowohl den neuen Anforderungen von Google als auch von Microsoft genügt: Alle Zwischen-CA- und Serverzertifikate sind dann mit dem neuen Algorithmus SHA-2 signiert.
Falls Sie ein neues Zertifikat von der UHH-CA benötigen, da von Ihrem System noch ein SHA-1 signiertes Zertifikat ausgeliefert wird, empfehlen wir Ihnen folgendes Vorgehen.
- Vereinbaren Sie einen Termin mit den Kollegen von den Servicestellen der UHH-CA
- Die Kollegen von den Servicestellen können dann mit Ihnen zusammen den alten Zertifikatsantrag als Neuvorlage bearbeiten. Das bedeutet, sie brauchen keinen neuen Antrag über die Webseiten zu stellen und Sie brauchen ebenfalls keinen neuen Schlüssel auf dem betroffenen Server zu erzeugen. Der alte Schlüssel kann weiter verwendet werden.
- Nach Erhalt und Installation des neuen Zertifikats und der Zertifikatskette prüfen Sie bitte erneut mit dem Skript, ob nun alle Zertifikate in der richtigen Form ausgeliefert werden.