isakmpd - mehrere Root-CAs gleichzeitig fahren?

[menace]

Hallo,
ich habe da einen VPN-Server mit einer Root-CA, wo auch RoadWarrior drüber in die Firma reingehen.
Doofer Weise unterstützt die aktuelle Konfiguration und die Client- und Root-CAs noch keine Revocations. Jetzt würde ich ganz gerne, damit die ganzen Leute nicht schreien, weil sie nicht ins Netz kommen, eine zweite Root-CA installieren, wo Revocations unterstützt werden und schritt für schritt die Client-CAs austauschen.
jetzt wollte ich wissen, ob isakmpd gleichzeitig 2 Root-CAs handeln kann? Denn einige mitarbeiter sind für längere zeit (paar monate) weg, aber man kann sie schlecht aus dem internen netz (über vpn-zugang) aussperren.

Generell finde ich auch nicht wirklich gute Dokumentation zu isakmpd. Könnt ihr mir da was empfehlen?

 

[kazcor]

Hmm, ich hab generell erstmal keine Ahnung von isakmpd, aber eigentlich solltest Du doch vom Prinzip einer CA eine subCA aufbauen können, welche von Deiner jetzigen RootCA signiert ist und revocations unterstützt - damit bräuchtest Du im Prinzip gar nichts ändern.
Das certificate der subCA müsste natürlich in einem key-/truststore des isakmpd präsent sein, aber wenn das ein normaler PKCS12 container ist, sollte das doch gehen?

 

[menace]

was bzw. wo ist denn der "key/truststore"? Und genau die frage bleibt ja immer noch, ich müsste die neue SubCA dem isakmpd kenntlich machen.

 

[kazcor]

Eigentlich sollte es reichen das signierte Zertifikat der sub CA beim client-Schlüsselpaar zu importieren - zusammen mit dem der root CA, damit die chain komplett ist. Die root CA bekommt dann bei einer Verbindung die komplette chain übermittelt und sollte die Signatur des sub CA certificates validieren können - dazu wird der private key der sub CA nicht benötigt.

Alles so ohne Gewähr, aber irgendwie so sollte es gehen. TinyCA könnte beim Aufbau hilfreich sein, bevor Du mit den ganzen OpenSSL configs durcheinanderkommst