von

Wissen

Praxis-Artikel rund um Microsoft ADCS – alle frei verfügbar. Architektur, Härtung, ESC-Angriffsvektoren, Auto-Enrollment, HSM, Migration und Post-Quantum.

Zu den Inhalten
Beratung

Beratung, Projektbegleitung, Quick Health Check deiner ADCS-Umgebung. CA-Hierarchie-Redesign, BSI-/NIS2-Härtung, HSM-Integration, Migration und Algorithmenwechsel.

Zur Beratung
Fachbücher

Mein Fachbuch zu PKI und Zertifikaten in modernen Microsoft-Umgebungen – ADCS-Architektur, Härtung, Templates, S/MIME, TLS, Codesigning und 47-Tage-Migration. Kompromisslos praxisnah. In Vorbereitung!

Zu den Büchern
Tools

CertBinder erneuert TLS-Zertifikate atomar über IIS, Exchange, SharePoint, ADFS, SQL Server, RDS und LDAPS hinweg. SMimeManager rollt S/MIME-Zertifikate für Exchange Online/Server sauber aus. Beide on-premises, einmalige Lizenz.

Tools ansehen
Schulungen

Online-Workshops zu ADCS, Härtung, ESC-Angriffsvektoren, Templates, Migration und Post-Quantum – kompakt, hands-on, ohne MOC-Folienschlacht.

Zu den Schulungen
Table of Contents
2
3

ADCS Hash-Migration: CA-Renewal ohne Reissuance

SHA-1 auf SHA-256 migrieren – ohne einen einzigen Endzertifikat-Rollout

Algorithmenwechsel und Hash-Migration ohne Reissuance

Kurzfassung vorab

Wenn deine CA noch mit SHA-1 signiert, musst du nicht jedes ausgestellte Zertifikat neu ausrollen. In den allermeisten Fällen reicht ein CA-Renewal mit gleichem Schlüssel und neuem Hash-Algorithmus: Die alten Endzertifikate bleiben bis zum Ablauf gültig, neue erben automatisch den neuen Hash. Reissuance der Endzertifikate brauchst du nur, wenn die Leafs selbst das Problem sind – nicht, weil das CA-Zertifikat veraltet ist. Wer das verwechselt, plant tagelange Massen-Rollouts, die kein Mensch braucht.

Abb. 1: Was beim CA-Renewal bestehen bleibt und was sich ändert. Der entscheidende Hebel ist die Wiederverwendung des CA-Schlüssels.

1. Schlüssel und Hash sind zwei verschiedene Dinge

Die meisten Migrationen werden komplizierter geplant als nötig, weil zwei Ebenen durcheinandergehen: das Schlüsselpaar der CA und das Hash-Verfahren, mit dem signiert wird. Beide kann man unabhängig voneinander wechseln – und genau das ist der Schlüssel zur entspannten Hash-Migration.

Abb. 2: Schlüsselpaar und Signatur-Hash sind getrennt. Nur der Hash veraltet? Dann muss der Schlüssel nicht angefasst werden.

Der CA-Schlüssel bestimmt die mathematische Identität der CA. Solange er gleich bleibt, bleibt die gesamte Vertrauenskette gültig – jedes Zertifikat, das jemals von diesem Schlüssel signiert wurde, validiert weiter. Ihn zu wechseln ist nur nötig, wenn er zu kurz ist (RSA 1024), kompromittiert wurde oder du auf ECC umstellst.

Das Hash-Verfahren (etwa SHA-1 nach SHA-256) ist davon unabhängig. Du kannst es beim Renewal wechseln, ohne den Schlüssel anzufassen. Das Ergebnis: ein neues CA-Zertifikat, das auf denselben Schlüssel zeigt, aber mit dem modernen Hash signiert.

Praxis-Tipp · Die Frage, die alles entscheidet

Bevor du irgendetwas migrierst, beantworte genau eine Frage: Ist nur das CA-Zertifikat veraltet, oder sind die ausgestellten Endzertifikate selbst SHA-1? Im ersten Fall ist es ein Renewal in zehn Minuten. Im zweiten Fall musst du wirklich neu ausstellen – aber das ist der seltenere Fall.

2. Der Entscheidungsbaum: Renewal, Reissuance oder beides

Es gibt nicht „die“ Hash-Migration, sondern drei Szenarien mit sehr unterschiedlichem Aufwand. Der folgende Baum führt dich in unter einer Minute zur richtigen Strategie.

Abb. 3: Der Entscheidungsbaum. Der häufigste Pfad führt ganz nach links – ein simples CA-Renewal.

Szenario

Was tun

Aufwand

Nur CA-Hash veraltet (SHA-1-CA, SHA-256-Leafs)

CA-Renewal, gleicher Schlüssel

gering

Endzertifikate selbst SHA-1, CA-Schlüssel ok

CA-Renewal + Leafs neu ausstellen

mittel

Schlüssel UND Hash zu schwach

Voll-Migration, neuer Key

hoch

3. CA-Renewal mit gleichem Schlüssel – so geht es

Das CA-Renewal mit Schlüsselwiederverwendung ist der elegante Standardweg. Du erzeugst ein neues CA-Zertifikat, das den alten Schlüssel behält, aber mit dem neuen Hash signiert wird. Wichtig ist nur, dass der Hash-Algorithmus vorher in der CA-Konfiguration auf SHA-256 (oder besser) steht.

PowerShell · Hash-Algorithmus umstellen und CA renewen

# 1. Aktuellen Hash-Algorithmus der CA prüfen

certutil -getreg CA\CSP\CNGHashAlgorithm

 

# 2. Auf SHA-256 umstellen (bei CNG-CAs)

certutil -setreg CA\CSP\CNGHashAlgorithm SHA256

 

# 3. CertSvc neu starten, damit die Umstellung greift

Restart-Service CertSvc

 

# 4. CA-Zertifikat erneuern – gleicher Schlüssel (ReUseKeys=TRUE)

# Ohne Schlüsselneuerzeugung: bestehende Kette bleibt gültig.

certutil -renewCert ReUseKeys

 

# 5. Kontrolle: neuer Hash im frischen CA-Zertifikat?

certutil -cainfo

certutil -store My | findstr /i "Signaturalgorithmus Signature"

Warnung · Erst die Registry, dann das Renewal

Wer die Reihenfolge dreht und zuerst renewt, bekommt ein nagelneues CA-Zertifikat – immer noch mit SHA-1. Dann darfst du gleich zweimal renewen. Erst CNGHashAlgorithm setzen, Dienst neu starten, dann erneuern. Sonst war die Übung umsonst.

4. Warum die alten Zertifikate gültig bleiben

Der häufigste Einwand im Consulting-Gespräch lautet: „Aber wenn die CA jetzt ein neues Zertifikat hat, gelten dann nicht alle alten Zertifikate als ungültig?“ Nein – und das ist der ganze Charme des Verfahrens.

Abb. 4: Nach dem Renewal koexistieren zwei CA-Zertifikat-Generationen. Beide zeigen auf denselben Schlüssel.

Nach dem Renewal mit gleichem Schlüssel hat die CA zwei Zertifikat-Generationen: das alte (SHA-1) und das neue (SHA-256). Beide führen auf denselben privaten Schlüssel zurück. Alte Endzertifikate validieren weiter gegen die alte Generation, neue gegen die neue. Die alte Generation bleibt so lange im Spiel, bis ihr letztes ausgestelltes Zertifikat abgelaufen ist – danach kannst du sie aus dem Verkehr ziehen.

Info · Verweis

Wie ein vollständiger Schlüsselwechsel inklusive Migration auf neue Hardware abläuft, zeigt der Spoke „ADCS-Migration Schritt für Schritt“ (Spoke 4.1). Für den Weg zu ECC und Post-Quantum siehe Spoke 4.3.

Praxis-Beispiel

Ausgangslage: Die Musterwerk GmbH (Industrie-Mittelstand, rund 1.200 Mitarbeiter) betreibt eine zweistufige PKI, deren Issuing CA noch mit SHA-1 signiert. Ein Sicherheits-Audit fordert die Umstellung auf SHA-256. Die IT-Leitung rechnet schon mit einem wochenlangen Rollout von über 3.000 Zertifikaten.

Maßnahme: Die Prüfung ergibt: Die Endzertifikate sind längst SHA-256, nur das CA-Zertifikat selbst ist SHA-1. Also kein Reissuance-Marathon, sondern ein simples CA-Renewal. Wir setzen CNGHashAlgorithm auf SHA256, starten den Dienst neu und renewen mit ReUseKeys. Gesamtaufwand: ein Wartungsfenster von zwanzig Minuten.

Ergebnis: Das Audit-Finding war abends geschlossen. Kein einziges Endzertifikat musste angefasst werden, kein Anwender bemerkte etwas. Die alte CA-Generation bleibt validierbar, bis ihre letzten Signaturen ausgelaufen sind.

Verwandte Themen

  • Pillar-Seite: Active Directory Certificate Services – der komplette Leitfaden → /adcs-leitfaden/
  • ADCS-Migration Schritt für Schritt – inkl. CA-Backup und Wiederherstellung → /adcs-migration/
  • Algorithmenwechsel in ADCS – RSA, ECC und der Weg zur Post-Quantum-Readiness → /adcs-algorithmen/
  • Side-by-Side-Migration im Detail – die unterschätzten Stolperfallen → /adcs-side-by-side/

    • Häufige Fragen (FAQ)

    Was ist der Unterschied zwischen CA-Renewal und Reissuance?

    Ein CA-Renewal erneuert das Zertifikat der CA selbst – auf Wunsch mit neuem Hash, aber gleichem Schlüssel. Reissuance bedeutet, die ausgestellten Endzertifikate neu auszustellen. Für eine reine Hash-Migration des CA-Zertifikats brauchst du nur das Renewal, keine Reissuance.

    Muss ich nach dem Hash-Wechsel alle Zertifikate neu ausstellen?

    In den meisten Fällen nein. Wenn nur das CA-Zertifikat veraltet ist und die Endzertifikate bereits einen modernen Hash haben, reicht ein CA-Renewal. Die alten Endzertifikate bleiben bis zu ihrem Ablauf gültig und müssen nicht angefasst werden.

    Wie stelle ich den Signatur-Hash einer ADCS-CA um?

    Bei CNG-basierten CAs setzt du den Wert CNGHashAlgorithm per certutil -setreg auf SHA256 oder SHA384, startest den CertSvc-Dienst neu und renewst dann das CA-Zertifikat. Wichtig ist die Reihenfolge: erst die Registry umstellen, dann erneuern.

    Warum bleiben alte Zertifikate nach dem Renewal gültig?

    Weil das Renewal mit gleichem Schlüssel arbeitet. Die CA hat danach zwei Zertifikat-Generationen, die beide auf denselben privaten Schlüssel zeigen. Alte Endzertifikate validieren weiter gegen die alte Generation, neue gegen die neue – die Vertrauenskette bricht nicht.

    Wann muss ich den CA-Schlüssel doch wechseln?

    Den Schlüssel musst du nur wechseln, wenn er selbst das Problem ist: zu kurze Schlüssellänge wie RSA 1024, Verdacht auf Kompromittierung oder eine Umstellung von RSA auf ECC. Ein Schlüsselwechsel bedeutet aber, dass die neue Vertrauensverankerung neu verteilt werden muss.

    Was passiert mit der CRL nach dem Renewal?

    Die alte CA-Generation veröffentlicht ihre CRL weiter, solange noch von ihr ausgestellte Zertifikate im Umlauf sind. Die neue Generation erzeugt ab dem Renewal-Zeitpunkt eigene CRLs. Beide laufen parallel, bis die alte Generation komplett ausgelaufen ist.

    Nächste Schritte mit boddenberg.de

    Wenn du nicht sicher bist, ob bei dir ein Renewal reicht oder eine Voll-Migration ansteht – das klärt eine kurze Bestandsaufnahme schneller als jede Diskussion:

  • ADCS-Health-Check · Standortbestimmung deiner PKI inklusive Algorithmen-Inventur – was ist SHA-1, was ist schon migriert.
  • Architektur- oder Redesign-Workshop · Vom Ist-Zustand zur Zielarchitektur, auf Wunsch fokussiert auf den Algorithmenwechsel.
  • Implementierungs- oder Migrationsbegleitung · Beratung und technische Unterstützung beim Umsetzen der Hash- oder Schlüsselmigration.

    •  

    Kontakt: Uli Boddenberg · boddenberg.de · Dortmund