vorhergehender Artikel
nächster Artikel

PKI Renewal 2025

vorhergehende Artikel in: PKI-X.509-CA Linux OpenSource Security
30.11.2025

Es war wieder einmal an der Zeit, meine PKI zu warten...

Die Zertifikate meiner diversen Intermediary Certificate Authorities standen kurz davor, das Ende ihrer geplanten Laufzeit zu erreichen - also habe ich diverse Zertifikate erneuern müssen.

Da ich meine Schlüssel, bzw. deren Passwörter mittels mehrerer Faktoren geschützt habe, habe ich mir erlaubt, lediglich ein Renewal durchzuführen und kein Re-Keying. Die Root ist noch bis 2030 gültig - daher habe ich die CAs entsprechend verlängert: Dabei wurde jede Ebene in der Hierarchie mit einer jeweils um einen Monat kürzeren Lebenszeit versehen als die in der direkt darüber liegenden Ebene.

Ich begann also mit den toplevel Intermediary CAs und arbeitete mich dann von oben nach unten durch eventuell weitere existierende Intermediaries bis hin zu den Issuing CAs durch.

Dank meines Projektes expect-dialog-ca war ich in der Lage, dies alles sehr rasch zu erledigen.

anschließend mussten noch diverse Subject-Zertifikate erneuert werden. Dabei handelte es sich zumeist um TLS-Server Zertifikate für Mail- und Webserver und natürlich um das Zertifikat für meine Timestamping Authority.

Dabei stellte ich zwei kleinere Makel am Projekt fest, die ich demnächst noch beheben werde - beides allerdings lediglich Schönheitsfehler, deren Behebung nicht kompliziert wird und die einfach nur ein wenig Zeit kosten werden.

Ich habe die diversen Test-CAs noch nicht verlängert - diese werden also in den Tagen nach Erstellung dieses Artikels auslaufen. Diese Tätigkeit hebe ich mir noch auf, was allerdings auch nicht schlimm ist, da diese Zertifikate nie für public-facing Dienste gedacht waren und lediglich in internen Tests verwendet wurden.

Und das Projekt bad-certificates hatte ich ja so angelegt, dass dort die PKI-Hierarchie jedesmal neu aufgesetzt wird, so dass die Zertifikate nur eine wenige Wochen umfassende Lebenszeit benötigen, sie aber immer zum Testzeitraum entsprechend der benötigten Anforderungen entweder gültig, nicht mehr gültig oder noch nicht gültig sind - unabhängig vom Datum der Ausführung der Tests.

Alle Artikel rss Wochenübersicht Monatsübersicht Codeberg Repositories Mastodon Über mich home xmpp

Vor 5 Jahren hier im Blog

  • Derangement - theoretische Betrachtungen

    23.12.2020

    Ich habe bereits über meine Implementierung eines Derangement berichtet - hier noch einige theoretische Nachbetrachtungen...

    Weiterlesen

Tags

Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Gui Hardware Java Java. Komponenten Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...

Neueste Artikel

  • Asymmetrische Kryptographie

    Ich habe mich mit der Idee schon länger getragen: Nochmal einen Rundumschlag zu asymmetrischer Kryptographie zu machen. Dabei werde ich mich auf Demonstrationen der einzelnen Konzepte und Operationen mit Beispielcode konzentrieren und zu jedem der vorgestellten Konzepte mehr oder weniger ausführlich bezüglich der Einsatzszenarien und Vor- und Nachteile Stellung beziehen

    Weiterlesen
  • Eingereichter Vortag zum 39C3 - Gentlemen - check your architecture!

    Dieser Vortrag wurde zum 39C3 eingereicht und abgelehnt. Ich möchte einige Open-Source-Frameworks für verschiedene Programmiersprachen vorstellen, mit denen sich Architekturregeln pro Projekt oder Organisation festlegen und mithilfe gängiger Testinfrastrukturen durchsetzen lassen.

    Weiterlesen
  • Chatkontrolle vermeiden ist gleichzeitig unwichtig und nicht genug!

    Das ist ein Abstract eines Vortrages, den ich auf dem 39C3 halten wurde, der aber abgelehnt wurde

    Weiterlesen

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.