我已经在我的网络中建立了一个小型 X.509 证书颁发机构供内部使用。现在我想续订证书,我想知道应该怎么做。
- 新的证书可以重复使用与过期证书相同的密钥对吗?
- 应该是?
- 我也可以重复使用序列号吗?
答案1
通常最佳做法是将旧证书放在 CRL 上并从头开始生成新证书。我不会重复使用任何东西,在我看来这只是不好的做法。在某些情况下,您可能能够重复使用不同的位,但我认为这是证书信任模型的问题。
如果您正在谈论根证书,那么在设置私有 CA 时我会让它们持续很长时间。
答案2
在即将到期时更新同一个私钥与更新即将到期的密码完全相同。如果密码/密钥没有泄露,那么您没有做错任何事。
但是“最佳实践”告诉我们,人们并不总是知道密码/密钥是否已被悄悄泄露,因此最好遵循到期和替换政策。
答案3
请勿复制密钥对和序列号。
如果证书被撤销,则证书撤销列表 (CRL) 中会通过其序列号对其进行标识。如果您希望能够撤销旧证书并保留新证书,请不要重复使用序列号。