X.509-Zertifikate - Ablaufdatum und Wiederverwendung von Schlüsseln

3449
grawity

Ich habe eine kleine X.509-Zertifizierungsstelle für die interne Verwendung in meinem Netzwerk eingerichtet. Jetzt möchte ich ein Zertifikat erneuern, und ich möchte wissen, wie ich es tun soll.

  • Kann das neue Zertifikat dasselbe Schlüsselpaar wie das abgelaufene wiederverwenden?
    • Sollte es?
  • Kann ich die Seriennummer auch wiederverwenden?
4

3 Antworten auf die Frage

2
ashim

Das Erneuern desselben privaten Schlüssels, wenn er dem Verfallsdatum nahe kommt, ist genau dasselbe wie das Erneuern des Kennworts, das dem Verfallsdatum nahe kommt. Wenn das Passwort / der Schlüssel nicht gefährdet ist, machen Sie nichts falsch.

"Best Practice" sagt uns jedoch, dass man nicht immer weiß, ob ein Passwort / Schlüssel leise kompromittiert wurde. Daher ist es am besten, die Ablauf- und Ersetzungsrichtlinien zu befolgen.

0
RobotHumans

In der Regel empfiehlt es sich, das alte Zertifikat in einer CRL zu platzieren und ein neues Zertifikat von Grund auf zu erstellen. Ich würde nichts wiederverwenden, nur schlechte Praxis imho. In einigen Fällen können Sie möglicherweise andere Bits wiederverwenden, aber ich denke, dass dies ein Problem mit dem Zertifikatvertrauensmodell ist.

Wenn Sie über das Stammzertifikat sprechen, halte ich es für eine WIRKLICH lange Zeit, wenn Sie private Zertifizierungsstellen einrichten.

Beachten Sie, dass CRL = Certificate Revocation List ist. harrymc vor 13 Jahren 0
There is not a "one practice fits all" solution. Think about a complicated networking system, with plenty of client/server intercommunication that relies on the same certificate root. If you totally replace that root with a new one you are about to introduce a lot of massive work, downtimes and potential issues into your system. If there is no reason to think your CA has been compromised because you *did* adhere to best security practice - **that includes keeping your CA offline and its key in a safe** - you just want to extend its validity time by renewing. Really. Dakatine vor 10 Jahren 0
Denn egal wie lange diese Wurzelgültigkeit ist, sie wird einen Tag ablaufen. :) Dakatine vor 10 Jahren 0
0
harrymc

Kopieren Sie weder das Schlüsselpaar noch die Seriennummer.

Wenn ein Zertifikat gesperrt wird, wird es in der Zertifikatsperrliste über die Seriennummer identifiziert. Wenn Sie die alte Nummer unter Beibehaltung der neuen Nummer widerrufen möchten, verwenden Sie die Seriennummer nicht erneut.

Verwandte Probleme