vorhergehender Artikel
 

PKI Renewal 2025

vorhergehende Artikel in: PKI-X.509-CA Linux OpenSource Security
30.11.2025

Es war wieder einmal an der Zeit, meine PKI zu warten...

Die Zertifikate meiner diversen Intermediary Certificate Authorities standen kurz davor, das Ende ihrer geplanten Laufzeit zu erreichen - also habe ich diverse Zertifikate erneuern müssen.

Da ich meine Schlüssel, bzw. deren Passwörter mittels mehrerer Faktoren geschützt habe, habe ich mir erlaubt, lediglich ein Renewal durchzuführen und kein Re-Keying. Die Root ist noch bis 2030 gültig - daher habe ich die CAs entsprechend verlängert: Dabei wurde jede Ebene in der Hierarchie mit einer jeweils um einen Monat kürzeren Lebenszeit versehen als die in der direkt darüber liegenden Ebene.

Ich begann also mit den toplevel Intermediary CAs und arbeitete mich dann von oben nach unten durch eventuell weitere existierende Intermediaries bis hin zu den Issuing CAs durch.

Dank meines Projektes expect-dialog-ca war ich in der Lage, dies alles sehr rasch zu erledigen.

anschließend mussten noch diverse Subject-Zertifikate erneuert werden. Dabei handelte es sich zumeist um TLS-Server Zertifikate für Mail- und Webserver und natürlich um das Zertifikat für meine Timestamping Authority.

Dabei stellte ich zwei kleinere Makel am Projekt fest, die ich demnächst noch beheben werde - beides allerdings lediglich Schönheitsfehler, deren Behebung nicht kompliziert wird und die einfach nur ein wenig Zeit kosten werden.

Ich habe die diversen Test-CAs noch nicht verlängert - diese werden also in den Tagen nach Erstellung dieses Artikels auslaufen. Diese Tätigkeit hebe ich mir noch auf, was allerdings auch nicht schlimm ist, da diese Zertifikate nie für public-facing Dienste gedacht waren und lediglich in internen Tests verwendet wurden.

Und das Projekt bad-certificates hatte ich ja so angelegt, dass dort die PKI-Hierarchie jedesmal neu aufgesetzt wird, so dass die Zertifikate nur eine wenige Wochen umfassende Lebenszeit benötigen, sie aber immer zum Testzeitraum entsprechend der benötigten Anforderungen entweder gültig, nicht mehr gültig oder noch nicht gültig sind - unabhängig vom Datum der Ausführung der Tests.

Alle Artikel rss Wochenübersicht Monatsübersicht Codeberg Repositories Mastodon Über mich home xmpp

Vor 5 Jahren hier im Blog

  • Links - Verschiedenes II

    02.12.2020

    Heute wieder eine Sammlung wild durch den Kräutergarten - diesmal hauptächlich zum Thema Kubernetes.

    Weiterlesen

Tags

Android Basteln C und C++ Chaos Datenbanken Docker dWb+ ESP Wifi Garten Geo Go GUI Gui Hardware Java Java. Komponenten Jupyter JupyterBinder Komponenten Links Linux Markdown Markup Music Numerik OpenSource PKI-X.509-CA Präsentationen Python QBrowser Rants Raspi Revisited Security Software-Test sQLshell TeleGrafana Verschiedenes Video Virtualisierung Windows Upcoming...

Neueste Artikel

  • sQLshell Version 7.9pre1 build 11189

    Eine neue Version der sQLshell ist verfügbar!

    Weiterlesen
  • Überwachungskamera mit Raspberry Zero W

    Ich habe bereits seit einigen Wochen immer wieder über den Eigenbau einer Überwachungskameralösung nachgedacht...

    Weiterlesen
  • Trust in digital communication

    Englische Version des Vortrag zu Konzepten hinter digitalen Identitäten - gehalten auf der CybSecMed 2024

    Weiterlesen

Manche nennen es Blog, manche Web-Seite - ich schreibe hier hin und wieder über meine Erlebnisse, Rückschläge und Erleuchtungen bei meinen Hobbies.

Wer daran teilhaben und eventuell sogar davon profitieren möchte, muss damit leben, daß ich hin und wieder kleine Ausflüge in Bereiche mache, die nichts mit IT, Administration oder Softwareentwicklung zu tun haben.

Ich wünsche allen Lesern viel Spaß und hin und wieder einen kleinen AHA!-Effekt...

PS: Meine öffentlichen Codeberg-Repositories findet man hier.