El certificado de autenticación del cliente no ha caducado, pero el certificado "padre" ES

Navega tus respuestas
2

Por lo tanto, tengo un certificado de autenticación de cliente instalado en las PC cliente, que no caducará por 5 años más. Desafortunadamente, el certificado en nuestra puerta de enlace que se usa para validar el certificado de cliente, expira este mes.
Lo sé ... D'Oh!

El plan A consiste en colocar un nuevo certificado en nuestra puerta de enlace y emitir nuevos certificados de cliente para todos los clientes. Esto va a ser muy perjudicial.

Parece que sería más sencillo colocar un nuevo certificado en nuestra puerta de enlace y hacer que continúe validando los certificados de cliente hasta que los certificados de cliente caduquen en 2019. Este sería mi "Plan B" propuesto.

¿Es válido el Plan B? es decir, ¿puede tener un nuevo certificado en la puerta de enlace, en honor a los certificados existentes, o tiene que volver a generar todo "de arriba a abajo"? Supongo que le pregunto si puede reemplazar un enlace en la cadena de confianza, sin romper la cadena.

Lamento que esto se haya simplificado en exceso. Realmente no entiendo todo esto, pero estoy luchando por encontrar una brecha aquí que podamos aprovechar.

Estos certificados se generan internamente (nuestra propia CA) y no se utilizan para SSL. Solo autenticación de cliente, adjunta a mensajes SOAP, dentro de SSL (no se espera que SSL cambie).

Gracias, Chris

    
pregunta Chris Thornton 16.07.2014 - 22:41
fuente

2 respuestas

1

Lo siento, pero la respuesta es "no". El certificado raíz de nivel superior "firma" sus otros certificados. Cuando su cliente vaya a validar su certificado, verá la firma en él y verá que está firmado por "oldcert", luego intentará validar "oldcert", y descubrirá que "oldcert" muerto. El solo hecho de tener el nuevo certificado no significa nada.

Puede tomar las mismas "solicitudes de firma de certificado" que se usaron originalmente para obtener los certificados firmados con su certificado anterior, y enviarlos al nuevo servidor de certificados y solicitar nuevas firmas. (Hay algunos riesgos, puede duplicar una identificación o algo así). Pero entonces todavía tienes que distribuir los nuevos certificados.

Lección para llevar: al firmar un certificado, asegúrese de que caduque antes de que caduque el certificado raíz.

    
respondido por el John Deters 16.07.2014 - 23:07
fuente
3

Usted puede "regenerar" el certificado en su puerta de enlace, pero solo funcionará si tiene la precaución de reutilizar el mismo nombre y clave.

Esta es una cadena de certificados: el certificado en la puerta de enlace es el "certificado de CA" y los CA han emitido certificados por esa CA. Dicho certificado de cliente se considerará válido (también conocido como "aceptable") si quien realiza la verificación puede crear una cadena válida . Las condiciones se enumeran aquí (no vayas a leer eso, destruirá tu cordura); en su mayoría se reducen a:

  • El subjectDN del emisor debe coincidir con el issuerDN del certificado emitido.
  • La fecha actual debe estar entre la fecha notBefore y notAfter de cada certificado.
  • La firma en el certificado emitido debe verificarse con éxito con respecto a la clave pública en el certificado del emisor.

La consecuencia es que si produce un nuevo certificado de CA (para su "puerta de enlace") con un rango de validez más largo, y tenga cuidado de usar exactamente el mismo nombre y la misma clave pública, entonces el nuevo certificado funcionará como reemplazo del anterior.

Otra complicación es que quien tenga que validar el certificado del cliente deberá acceder al nuevo certificado de CA en lugar del anterior. Posiblemente, el cliente puede enviarlo como parte del protocolo (esto ocurre en algunos protocolos, por ejemplo, SSL: cuando el cliente envía su certificado, en realidad envía una cadena completa), pero esto requerirá que los sistemas clientes lo conozcan. Cualquier certificado puede contener un enlace (URL) a un lugar desde el que se puede descargar el certificado de la CA emisora (se llama Acceso a la información de la autoridad ); Si ese es el caso, entonces querrá colocar su nuevo certificado de CA en el lugar exacto, reemplazando el anterior.

Resumen: su "Plan B" puede funcionar, pero solo si reutiliza el mismo nombre y clave en el nuevo certificado, y puede depender del uso exacto guión. Su software de CA puede ser problemático si insiste en generar un nuevo par de claves.

Nota: algunas CA evitan esta situación forzando la anidación de las fechas de validez: si el certificado de una CA finaliza el 13 de diciembre de 2014, entonces se negará a emitir certificados con una fecha notAfter después de diciembre 13 de 2014. La CA de Microsoft (Servicios de certificados de Active Directory) es de ese tipo. Supongo que el software de su CA no aplica esa regla.

    
respondido por el Thomas Pornin 18.07.2014 - 14:49
fuente

Lea otras preguntas en las etiquetas

¿Sería útil un servicio principal grande? ¿Máxima protección en una red de computadoras?