Die Gültigkeit des bei der ersten Installation eines Check Point Security Managements automatisch generierten Internal CA Zertifikats (ICA) beträgt 20 Jahre. Check Point Kunden schätzen die integrierte Certificate Authority (CA), da diese den Betrieb zertifikatbasierter VPNs und Authentifizierung sehr erleichtert.

Langjährigen Check Point Kunden zeigt die SmartConsole im Jahr vor Ablauf der ICA einen Warnhinweis an:

Hierbei ist proaktives Handeln gefragt, denn eine bereits abgelaufene ICA lässt sich nachträglich nicht mehr erneuern, sondern lediglich ersetzen. Dies kann erhebliche Ausfälle und Mehraufwand bedeuten, da dann zusätzlich alle von der abgelaufenen ICA abgeleiteten VPN- und Nutzerzertifikate ebenfalls ersetzt werden müssen.

Das genaue Ablaufdatum lässt sich in die SmartConsole über den Object Explorer auslesen:

Zur Erneuerung der ICA wird Fachpersonal benötigt.

In sk158096 beschreibt Check Point das genaue Verfahren zur Erneuerung der ICA auf der Expert-Kommandozeile (CLI) des Check Point Security Managements und stellt Skripte sowie CLI-Befehle für die verschiedenen Check Point Infrastrukturen bereit. Ferner sind spezielle Hinweise zu Hotfixständen, einer funktionalen Zeitsynchronisation uvm. zu beachten.

Achtung! Ersetzung der ICA ggf. erforderlich.

Das Verfahren zur Erneuerung der ICA übernimmt auch den ursprünglichen ICA Namen. Dieser ist jedoch oft nicht mehr aktuell oder muss zur Erfüllung folgender Anforderungen an ICA Namen ersetzt werden, um Supportverlust zu vermeiden.

Best Practice: ICA Name = Hostname = Objektname = /etc/hosts Eintrag

Zur Durchführung der ICA Erneuerung (ICA Renew) bzw. Ersetzung wird ein Wartungsfenster benötigt. Unsere erfahrenen Check Point Experten unterstützen Sie gern bei der Aktualisierung Ihrer Internal CA (ICA).

Sprechen Sie uns an.