Eu configurei uma pequena autoridade de certificação X.509 para uso interno na minha rede. Agora quero renovar um certificado e quero saber como devo fazê-lo.
Normalmente, a melhor prática é colocar o certificado antigo em uma CRL e gerar um novo a partir do zero. Eu não reutilizaria nada, apenas a prática ruim. Em alguns casos, você pode ser capaz de se livrar da reutilização de diferentes bits, mas eu considero um problema com o modelo de confiança de certificado.
Se você está falando sobre o certificado raiz, faço com que durem muito tempo ao configurar CAs particulares.
Renovar a mesma chave privada quando estiver perto da expiração é exatamente o mesmo que renovar a senha que está chegando perto da expiração. Se a senha / chave não estiver comprometida, você não está fazendo nada errado.
Mas a "melhor prática" nos diria que nem sempre sabemos se uma senha / chave foi silenciosamente comprometida e, portanto, é melhor seguir as políticas de expiração e substituição.
Não duplique nem o par de chaves nem o número de série.
Se um certificado for revogado, ele será identificado na Lista de Revogação de Certificados (CRL) por seu número de série. Se você quiser revogar o antigo enquanto mantém o novo, não reutilize o número de série.
Tags x509 ssl-certificate