X.509 证书 - 过期和密钥重用

X.509 证书 - 过期和密钥重用

我已经在我的网络中建立了一个小型 X.509 证书颁发机构供内部使用。现在我想续订证书,我想知道应该怎么做。

  • 新的证书可以重复使用与过期证书相同的密钥对吗?
    • 应该是?
  • 我也可以重复使用序列号吗?

答案1

通常最佳做法是将旧证书放在 CRL 上并从头开始生成新证书。我不会重复使用任何东西,在我看来这只是不好的做法。在某些情况下,您可能能够重复使用不同的位,但我认为这是证书信任模型的问题。

如果您正在谈论根证书,那么在设置私有 CA 时我会让它们持续很长时间。

答案2

在即将到期时更新同一个私钥与更新即将到期的密码完全相同。如果密码/密钥没有泄露,那么您没有做错任何事。

但是“最佳实践”告诉我们,人们并不总是知道密码/密钥是否已被悄悄泄露,因此最好遵循到期和替换政策。

答案3

请勿复制密钥对和序列号。

如果证书被撤销,则证书撤销列表 (CRL) 中会通过其序列号对其进行标识。如果您希望能够撤销旧证书并保留新证书,请不要重复使用序列号。

相关内容