X.509 certificados - expiração e reutilização de chaves

4

Eu configurei uma pequena autoridade de certificação X.509 para uso interno na minha rede. Agora quero renovar um certificado e quero saber como devo fazê-lo.

  • O novo certificado pode reutilizar o mesmo par de chaves que o expirado?
    • Deveria?
  • Posso reutilizar o número de série também?
por grawity 03.12.2010 / 11:24

3 respostas

0

Normalmente, a melhor prática é colocar o certificado antigo em uma CRL e gerar um novo a partir do zero. Eu não reutilizaria nada, apenas a prática ruim. Em alguns casos, você pode ser capaz de se livrar da reutilização de diferentes bits, mas eu considero um problema com o modelo de confiança de certificado.

Se você está falando sobre o certificado raiz, faço com que durem muito tempo ao configurar CAs particulares.

    
por 03.12.2010 / 12:50
2

Renovar a mesma chave privada quando estiver perto da expiração é exatamente o mesmo que renovar a senha que está chegando perto da expiração. Se a senha / chave não estiver comprometida, você não está fazendo nada errado.

Mas a "melhor prática" nos diria que nem sempre sabemos se uma senha / chave foi silenciosamente comprometida e, portanto, é melhor seguir as políticas de expiração e substituição.

    
por 10.02.2011 / 01:55
0

Não duplique nem o par de chaves nem o número de série.

Se um certificado for revogado, ele será identificado na Lista de Revogação de Certificados (CRL) por seu número de série. Se você quiser revogar o antigo enquanto mantém o novo, não reutilize o número de série.

    
por 03.12.2010 / 13:06