Я настроил небольшой центр сертификации X.509 для внутреннего использования в моей сети. Теперь я хочу продлить сертификат и узнать, как мне это сделать.
Обновление того же закрытого ключа, когда он приближается к истечению срока действия, - это то же самое, что обновление пароля, близкого к истечению срока действия. Если пароль / ключ не взломан, значит, вы не делаете ничего плохого.
Но "передовой опыт" сказал бы нам, что не всегда известно, был ли пароль / ключ незаметно скомпрометирован, и, таким образом, лучше всего следовать правилам истечения срока действия и замены.
Обычно рекомендуется размещать старый сертификат в CRL и создавать новый с нуля. Я бы ничего не использовал повторно, просто плохая практика imho. В некоторых случаях вы можете избежать повторного использования разных битов, но я считаю, что проблема с моделью доверия сертификата.
Если вы говорите о корневом сертификате, я делаю его в течение ДЕЙСТВИТЕЛЬНО долгого времени при настройке частных ЦС.
Не дублируйте ни пару ключей, ни серийный номер.
Если сертификат аннулирован, он идентифицируется в списке отзыва сертификатов (CRL) по его серийному номеру. Если вы хотите иметь возможность отозвать старый, сохранив новый, не используйте серийный номер повторно.
