Como substituir corretamente o certificado de CA quando os clientes o empacotam em contêineres PKCS # 12?

4

Estou prestes a gerar novamente um certificado da minha CA (mantido pelo OpenSSL) usado principalmente para fornecer acesso do OpenVPN à intranet para meus clientes.

Minha pergunta está relacionada a este - "Expiração e renovação do certificado raiz da autoridade de certificação". Uma excelente resposta a ele fornecida por Shane Madden explica que a confiança em certificados assinados por um CA em particular assinatura da chave privada da CA e, assim, se o próprio certificado da CA for substituído, a cadeia de confiança não será quebrada, desde que o novo certificado tenha sido assinado pela mesma chave privada.

O problema é que estou usando principalmente minha CA para gerar certificados para clientes OpenVPN; cada cliente recebe um arquivo PKCS # 12 que agrupa o certificado do cliente e a chave, e o certificado da autoridade de certificação, para que o cliente possa confiar no certificado do servidor OpenVPN. O servidor, por sua vez, é instruído a ler o mesmo certificado de CA que é empacotado para os clientes.

Portanto, minha pergunta é: se eu substituir o certificado de CA para que o servidor OpenVPN o veja imediatamente enquanto os clientes terão o certificado de CA antigo em seus pacotes PKCS # 12, os clientes ainda confiarão no certificado do servidor?

Ou eu deveria tomar outro caminho e seguir assim?

  1. Gere novamente o certificado de CA, mas adie a implantação.
  2. Gere novamente e reimplemente o pacote PKCS # 12 para cada um dos meus clientes, incluindo ambos o certificado de CA ativo e o novo.
  3. Por fim, implemente o novo certificado de CA no servidor.

Presumivelmente, isso fará com que os clientes escolham qualquer certificado de CA que julguem adequado, embora não tenha certeza.

Gostaria de receber qualquer conselho sobre a estratégia que devo empregar para lidar com minha situação.

    
por kostix 20.03.2013 / 11:17

0 respostas