El problema es que el certificado es válido solo por 1 año y tenemos que
vuélvalo a implementar y vuelva a cifrar las contraseñas en todas partes cada año.
En realidad, debería poder obtener un nuevo certificado mientras reutiliza el antiguo par de llaves. De esa manera, todavía tendría un certificado válido mientras aún pudiera descifrar cualquier información sin volver a cifrarla.
¿Cómo almacenar de forma segura el certificado de CA?
La forma más fácil y barata (y menos segura) es tener la clave privada de CA en un archivo cifrado con contraseña en un servidor que considere seguro.
Un paso adelante sería comprar una tarjeta inteligente o un token criptográfico que tenga una interfaz PKCS # 11 para almacenar la clave y realizar operaciones de CA.
La opción más segura es comprar un Hardware Security Module (HSM) que, técnicamente, es solo una tarjeta inteligente muy rápida y muy segura (y muy costosa, piensa entre miles y decenas de euros).
¿Cuál es un tiempo de caducidad razonable para los certificados autofirmados?
derivado de nuestro CA?
keylength.com ofrece una descripción general de cuánto tiempo pueden considerarse seguras las claves con cierto tamaño desde la perspectiva actual. No debes exceder estos límites.
¿Existen herramientas para hacer todo este proceso más sencillo y seguro?
Por supuesto. Una herramienta pequeña y fácil sería XCA , por ejemplo. Si planea emitir muchos certificados o funciones PKI más avanzadas, la mejor solución de código abierto disponible es EJBCA . Muy potente, pero necesita bastante más tiempo para acostumbrarse.