Eu tenho o seguinte problema: Eu tenho uma CA (autoridade de certificação) auto-assinada principalmente para uso pessoal (criptografia e assinatura de email, ...). Eu criei vários certificados e as CRLs (que estão vazias por enquanto) e publiquei todas elas.
Agora eu tenho o problema, que recebo a mensagem de kleopatra (gerenciador de certificados X509 no linux), que as CRLs estão desatualizadas e, portanto, não utilizadas. Além disso, acho que todos os certificados com a CRL desatualizada são temporariamente rejeitados / revogados até que a CRL atualizada possa ser obtida via HTTP (no meu caso).
Agora, quero saber como isso é possível em um contexto profissional. Para criar uma nova CRL usando um script, eu teria que colocar a chave privada não criptografada (!) Da minha autoridade de certificação raiz em um servidor de produção para gerar as CRLs usando um script cron. Eu não posso acreditar que isso é necessário para executar uma CA profissional, ou é?
Assim que surgir algum problema neste servidor, todo o certificado raiz será comprometido. Isso resultaria em uma reinicialização competitiva de todos os certificados e todos os aplicativos que tivessem instalado esse certificado raiz precisariam ser alterados manualmente. Para um certificado raiz (confiável) não pode haver uma CRL em si, então não podemos revogá-la no sentido clássico.
Espero que você possa me explicar as coisas.
Uma CRL não é criada sob demanda, mas regularmente e geralmente dentro da mesma infraestrutura (esperançosamente segura) na qual os certificados são assinados. Depois que a CRL é criada e assinada, ela é propagada para os servidores públicos acessíveis, onde os usuários podem acessá-la. Portanto, não há necessidade de colocar a chave privada da CA em um servidor público.
Tags cron ssl home-server linux certificate