Сертификаты X.509 - срок действия и повторное использование ключа

3416
grawity

Я настроил небольшой центр сертификации X.509 для внутреннего использования в моей сети. Теперь я хочу продлить сертификат и узнать, как мне это сделать.

  • Может ли новый сертификат повторно использовать ту же пару ключей, что и истекший?
    • Должно ли это?
  • Можно ли повторно использовать серийный номер?
4

3 ответа на вопрос

2
ashim

Renewing the same private key when it's getting close to expiration is the exact same as renewing password that's getting close to expiration. If the password/key isn't compromised, then you're not doing anything wrong.

But "best practice" would tell us that one doesn't always know if a password/key has been quietly compromised, and thus it is best to follow expiration and replacement policies.

0
RobotHumans

Обычно рекомендуется размещать старый сертификат в CRL и создавать новый с нуля. Я бы ничего не использовал повторно, просто плохая практика imho. В некоторых случаях вы можете избежать повторного использования разных битов, но я считаю, что проблема с моделью доверия сертификата.

Если вы говорите о корневом сертификате, я делаю его в течение ДЕЙСТВИТЕЛЬНО долгого времени при настройке частных ЦС.

Обратите внимание, что CRL = список отзыва сертификатов. harrymc 13 лет назад 0
Не существует решения "одна практика подходит всем". Подумайте о сложной сетевой системе с большим количеством клиент-серверных взаимодействий, основанных на одном корне сертификата. Если вы полностью замените этот корень на новый, вы собираетесь внести в вашу систему огромную работу, простои и потенциальные проблемы. Если нет оснований полагать, что ваш ЦС был скомпрометирован, потому что вы * придерживались * наилучшей практики безопасности - ** которая включает в себя сохранение ЦС в автономном режиме и его ключа в сейфе ** - вы просто хотите продлить срок его действия, продлив , В самом деле. Dakatine 11 лет назад 0
Потому что независимо от того, как долго этот корневой срок действия, он истекает день. :) Dakatine 11 лет назад 0
0
harrymc

Не дублируйте ни пару ключей, ни серийный номер.

Если сертификат аннулирован, он идентифицируется в списке отзыва сертификатов (CRL) по его серийному номеру. Если вы хотите иметь возможность отозвать старый, сохранив новый, не используйте серийный номер повторно.

Похожие вопросы