¿Podemos usar una CA para revocar certificados generados por otra CA?

2

Tengo una jerarquía de certificados que contiene:

  • %código%
    • root-cert (emitido desde server1-CA )
      • root-CA (emitido desde client1-cert )
    • server1-CA (emitido desde server2-CA )
      • root-CA (emitido desde client2-cert )

Necesito generar un archivo CRL y usarlo tanto en servier2-CA como en server1 (o en otros servidores). ¿Puedo revocar certificados de cliente usando server2 (para tener un archivo CRL único)? ¿O hay una manera de combinar varios archivos CRL?

    
pregunta Hakim 11.01.2017 - 15:57
fuente

1 respuesta

6

No, no en la práctica.

No, no puedes. CA puede revocar certificados firmados / emitidos únicamente. Hay una serie de razones de esta elección. Aunque, RFC 5280 admite autoridades de revocación delegadas (a través del registro en extensión de CRL Issuing Distribution Point ), en la práctica no está implementado por clientes criptográficos en la mayoría de los casos.

Un ejemplo simple: dos CAs emitieron un certificado con un número de serie coincidente (se debe proporcionar la singularidad del número de serie para cada clave de CA, técnicamente, dos CA pueden tener certificados con el mismo número de serie) y usted lo revoca. La pregunta: ¿qué certificado revocaste?

Lo único que puedes hacer es revocar el certificado de la CA subordinada (revocar efectivamente todos los certificados hacia abajo en la ruta de esa CA subordinada).

    
respondido por el Crypt32 11.01.2017 - 16:15
fuente

Lea otras preguntas en las etiquetas