Actualmente, tenemos Microsoft Enterprise Certificate Server instalado en una máquina miembro del dominio que emite certificados de 1 año para que los usuarios se autentiquen en VPN.
Nos gustaría comenzar a emitir certificados de servidor web desde nuestra CA para proteger Dell Open Manage (una aplicación de administración de sistemas) y también RDP de Microsoft. Debido a que tenemos bastantes servidores (más de 100) y no he encontrado una forma de automatizar la instalación de certificados (tenga en cuenta la instalación, no la implementación, sé cómo implementarla automáticamente) estamos considerando emitir certificados para toda la vida útil del servidor. La mayoría de nuestros servidores se utilizan durante 10 años o menos, por lo que queremos certificados de 10 a 15 años.
Según tengo entendido, los CA no pueden emitir certificados más largos de lo que ellos mismos son válidos. Por lo tanto, si quisiéramos emitir certificados SSL de 10 años, nuestro certificado de CA raíz tendría que tener una validez de al menos 11 años, pero probablemente de 15 a 20 años.
Además, entiendo que cuanto más larga sea la duración del certificado, más susceptible será la clave privada para comprometerse y, por lo tanto, el deseo de utilizar una clave más larga para los certificados más largos.
Estoy considerando renovar el certificado raíz por un período mayor, pero tengo las siguientes preguntas:
1) ¿Está generando un certificado raíz de 15 a 20 años dentro de las mejores prácticas? Una vez más, entiendo que lo ideal sería que emitiéramos certificados por un período más corto, pero el trabajo manual involucrado en la instalación de dichos certificados cada año no es trivial, por lo tanto, el deseo de usar una mayor duración, siempre y cuando hacerlo sea razonablemente seguro
2) ¿Debemos usar la longitud de clave 4096 para la CA raíz o podemos usar una clave más corta? Algunas lecturas que he hecho sugieren que algunos dispositivos de red no admitirán certificados de más de 2048 bits.
3) Al renovar el certificado raíz, tenemos la opción de reutilizar su par de claves existente o generar un nuevo par de claves. Entiendo que generar un nuevo par de claves es mejor desde el punto de vista de la seguridad, pero si lo hacemos, ¿nuestros certificados emitidos continuarán funcionando sin necesidad de realizar cambios?
Gracias
Brad