我是正在考虑证书颁发机构的菜鸟。我前一阵子按照这篇文章来设置我自己的证书颁发机构,并在它的帮助下设置了我自己的freelanVPN网络:https : //github.com/freelan-developers/freelan/wiki/X509-certificates-generation
基本上,我要做的就是打电话给:
openssl req -new -x509 -extensions v3_ca -keyout key/ca.key -out crt/ca.crt -config ca.cnf
问题是ca.crt我据认为是我的证书的公钥ca.key现在已经过期openssl。我已经使用此证书来签署其他密钥,并且不想再经历一次。
有没有办法我可以简单地创建一个ca.crt具有更长到期日期的新文件?
我不记得是否必须设置ca.crt某个地方的到期日期,但我不相信我这样做了,因为它只有效1个月。我想知道这是预期的还是推荐的,或者实际上是我在此过程中犯的一个错误?ca.crt证书有效期为多长时间?
我在网上找到了不同的命令,但是不确定哪个命令适合我,例如:https : //stackoverflow.com/questions/13295585/openssl-certificate-verification-on-linux https://serverfault.com/questions/ 306345 /证书颁发机构根证书的有效期限和续订
如何更新我的证书颁发机构签名密钥?
您有两个问题要解决。首先是终端实体(服务器和用户)证书的连续性。其次是根CA的更改。
有没有办法我可以简单地创建一个具有更长有效期的新ca.crt文件?
是的,但是请参阅下面的详细信息。
第一个问题,即终端实体(服务器和用户)证书的连续性,在滚动根CA时,可以通过使用相同的公钥来解决。
新的自签名根CA仍然需要被安装到相关的信任存储,但关键的连续性是指终端实体证书不会需要重新发行。如果您为根CA使用新的公钥,则将需要重新颁发所有最终实体证书。
由于根CA已过期,因此必须发生第二个问题,即在根CA上滚动。这是与重新认证根CA相同的问题,因为哈希已从SHA-1更改为SHA-256以符合CA /浏览器基准要求。许多CA在现实生活中都做到了这一点。
可以通过使用相同的公共密钥来减少翻转的影响。这也将有助于增强安全性控制,例如固定CA的公钥。如果将CA证书固定(而不是公钥),那么它将在诸如Cert Patrol之类的工具中产生大量无关的噪音。
要滚动CA,您需要创建一个“等效的”根CA证书(或尽可能接近的等效证书)。RFC 4158,Internet X.509公钥基础结构:认证路径构建中概述了用户代理唯一标识证书的方式。
RFC 4158的缩写是{主题专有名称,序列号}对,可用于唯一标识商店中的证书。作为CA或颁发者,即使您重新进行认证,也应确保序列号是唯一的。
终端实体证书还有其他可唯一标识的方法,包括颁发机构密钥标识符(AKID)。实际上,服务器的证书可以将颁发者的{主题专有名称,序列号}的哈希值用作其AKID(如果我没记错的话)。
您似乎已经弄清楚如何创建自签名的CA证书,因此我将不讨论OpenSSL命令。
当您的公钥/私钥对受到威胁时,就会出现真正的问题。您不能在现有的公共密钥下滚动CA,因此必须颁发新的Root CA证书并重新颁发所有最终实体证书。
回顾一下,您可以采取以下行动:
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句