Сертификаты X.509 - истечение и ключевое повторное использование
Я создал небольшой центр сертификации X.509 для внутреннего пользования в моей сети. Теперь я хочу возобновить сертификат, и я хочу знать, как я должен сделать это.
- Действительно ли новый сертификат может снова использовать ту же пару ключей как с истекшим сроком?
- Должен это?
- Действительно ли я могу снова использовать порядковый номер также?
3 ответа
Обычно лучшая практика должна поместить старый сертификат в CRL и генерировать новый с нуля. Я ничего не снова использовал бы, просто плохая практика, по моему скромному мнению. В некоторых случаях Вы смогли сходить с рук многократное использование различных битов, но я для каждый полагает, что проблема с сертификатом доверяет модели.
Если Вы говорите о корневом сертификате, я заставляю их продлиться в течение ДЕЙСТВИТЕЛЬНО долгого времени при установке частной АВАРИИ.
Не копируйте ни пару ключей, ни порядковый номер.
Если сертификат отменяется, то он определяется в Списке аннулированных сертификатов (CRL) его порядковым номером. Если требуется смочь отменить старый при хранении нового не снова используйте порядковый номер.
Возобновление того же закрытого ключа, когда это рядом с истечением, является тем же самым как возобновление пароля, это рядом с истечением. Если пароль/ключ не поставлен под угрозу, то Вы не делаете ничего плохого.
Но "лучшая практика" сказала бы нам, что каждый не всегда знает, был ли пароль/ключ бесшумно поставлен под угрозу и таким образом лучше следовать за истечением и заменяющими политиками.