Neue Root-CA und Agent-Updater im Einsatz - Wie wechsle ich am besten die Zertifikate?

Hallo zusammen,

wir sind aktuell dabei unsere neue Root- und Sub-CA aufzusetzen.

In den Agent-Updater Einstellungen ist aktuell noch das alte Root-CA enthalten. Die Weboberfläche ist auch mit einem Zertifikat gesichert, welches von der alten Root-CA ausgestellt wurde.

Wie und in welcher Reihenfolge tausche ich das Ganze am besten?

Ich würde zuerst das neue Root-CA in die Agents backen und warten, bis diese überall installiert sind.
Wenn ich es richtig verstehe, können sich die Agents nach der Installation des Agents in dem das neue Root-CA enthalten ist, nicht mehr zum CheckMK-Server verbinden, da dieser ja noch Zertifikate verwendet, welche von der alten Root-CA ausgestellt wurden, richtig?

Nachdem also alle Clients die neuen Agents mit dem neuen Root-CA installiert haben, würde ich dann die Zertifikate vom CheckMK-Server tauschen, dann müssten die Agents ja wieder eine Verbindung aufbauen können, sehe ich das richtig?

Danke schon mal und viele Grüße
Felix

Hallo Felix,

das würde ich genau so machen.
Im Zweifel den Austausch früh genug vor Ablauf der vorhandenen durchführen, dabei die alten Zertifikate erst mal liegen lassen und die alten Einträge in der Apache Konfig einfach kopieren / auskommentieren, damit man zur Not noch mal alles schnell zurück drehen kann.

Du kannst das neue CA Zertifikat zusätzlich hinzufügen, das heisst du vertraust einfach eine Zeitlang beiden CAs. Wenn die Umstellung funktioniert hat, nimmst du das alte Zertifikat dann aus der Konfig raus.

Viele Grüße
Andre

1 Like

Danke für den Tipp @aeckstein, die Möglichkeit ein zweites Zertifikat hinzuzufügen habe ich echt übersehen… Werde ich so machen!
image

1 Like

This topic was automatically closed 365 days after the last reply. New replies are no longer allowed. Contact an admin if you think this should be re-opened.