4

Я настроил небольшой центр сертификации X.509 для внутреннего использования в моей сети. Теперь я хочу продлить сертификат и узнать, как мне это сделать.

  • Может ли новый сертификат повторно использовать ту же пару ключей, что и истекший?
    • Должно ли это?
  • Можно ли повторно использовать серийный номер?

3 ответа3

2

Обновление того же закрытого ключа, когда он приближается к истечению срока действия, - это то же самое, что обновление пароля, близкого к истечению срока действия. Если пароль / ключ не взломан, значит, вы не делаете ничего плохого.

Но "передовой опыт" сказал бы нам, что не всегда известно, был ли пароль / ключ незаметно скомпрометирован, и, таким образом, лучше всего следовать правилам истечения срока действия и замены.

0

Обычно рекомендуется размещать старый сертификат в CRL и создавать новый с нуля. Я бы ничего не использовал повторно, просто плохая практика imho. В некоторых случаях вы можете избежать повторного использования разных битов, но я считаю, что проблема с моделью доверия сертификата.

Если вы говорите о корневом сертификате, я делаю его в течение ДЕЙСТВИТЕЛЬНО долгого времени при настройке частных ЦС.

0

Не дублируйте ни пару ключей, ни серийный номер.

Если сертификат аннулирован, он идентифицируется в списке отзыва сертификатов (CRL) по его серийному номеру. Если вы хотите иметь возможность отозвать старый, сохранив новый, не используйте серийный номер повторно.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .