¿Es posible modificar una CA sin tener que volver a emitir todos los certificados derivados?

4

Antecedentes: tengo mi propio certificado autoritativo que me generé para firmar los certificados de los servicios que mis amigos y yo usamos, incluido el servidor web, ircd, etc. Es conveniente porque no tengo que gastar dinero en firmar mi certificado entre los que la usan, la garantía de seguridad es bastante completa.

Advertencia: al ser un poco más noble de lo que era ahora, configuré mi CA para que expirara después de un año. Esto fue hace unos 10 meses. La clave privada es RSA de 4096 bits y el certificado es autofirmado con SHA512, por lo que debería permanecer seguro durante todo el tiempo que lo necesite, siempre y cuando no pierda la clave privada.

Pregunta: Sé que puedo generar un nuevo certificado a partir de la clave privada con una fecha de vencimiento más larga (por ejemplo, dentro de 100 años para los fines de esta discusión). ¿El reemplazo sería un proceso tan simple como la sustitución del certificado extendido recién generado a todos los clientes? ¿Aceptarían los subcertificados como de confianza, siempre que actualizaran sus copias almacenadas de la CA para reflejar la nueva fecha de vencimiento? ¿Podría omitir la regeneración de todos los certificados intermedios siempre y cuando el par de llaves y la huella digital de la CA permanezcan iguales?

    
pregunta Wug 17.07.2012 - 21:25
fuente

3 respuestas

3

No debería tener que volver a emitir todos de sus certificados. Suponiendo que cada uno sigue siendo válido, y mientras use la clave y el mismo tema exactos para su CA , debería poder extender la vida útil de su CA y redistribuir el certificado como el nuevo ancla de confianza.

    
respondido por el bahamat 18.07.2012 - 01:47
fuente
0

La respuesta es sí. Puede modificar la CA sin volver a emitir los certificados emitidos por la CA en particular, pero hay ciertos parámetros que debe restringir. 1) Normalmente, para verificar la firma digital de la cadena CA, se necesita su clave pública. Así que sin cambiar el Keypair puedes hacerlo. 2) Después de hacer los cambios, debe distribuir la CA modificada a donde la usa, ya que otros clientes deben confiar en ella. 3) Verifique el nivel de la aplicación o el nivel de configuración para obtener detalles de huellas dactilares (necesarios para ciertas comprobaciones) en caso de que haya almacenado en algún lugar.

    
respondido por el user45475 28.01.2015 - 04:36
fuente
0

Respecto al mismo nombre común para CA es Sí. Puede utilizar el mismo nombre común siempre que la clave sea diferente. La razón por la que no es preferible es que la mayoría de los productos de seguridad no se verifican con respecto al nombre y la clave comunes, ya que se verifican con respecto al nombre y esto es incorrecto según el estándar RFC.

    
respondido por el user45475 28.01.2015 - 04:40
fuente

Lea otras preguntas en las etiquetas