Центр сертификации CentOS повышает надежность ключа

stormdrain

16.02.2023, 03:44

У меня есть самоподписанный ЦС, которым я пользуюсь уже несколько лет. Сертификаты, которые я подписываю / выдаю в наши дни для нашей локальной сети, теперь получают предупреждения в Chrome из-за «слабого ключа». Есть ли простой способ с помощью openssl заменить или обновить ключ Root CA, чтобы использовать более надежную криптографию, чтобы избежать обозначения Chrome «Незащищенный» на подписанных сертификатах?

0 + 0

сентос

memcached

центр сертификации

Рейтинг:1

Server

garethTheRed

16.02.2023, 06:55

К сожалению, единственный способ обновить ключ корневого ЦС — заменить его более новой, надежной парой ключей, а затем самостоятельно подписать новый сертификат корневого ЦС с помощью новой пары.

Следующие шаги зависят от того, решили ли вы использовать подчиненные центры сертификации в своем проекте PKI.

Если вы не пошли на подчиненные ЦС, вам нужно будет переподписать¹ все сертификаты конечного объекта с этим новым корневым ЦС, и подписчики должны настроить свои службы/приложения для представления своего недавно подписанного сертификата конечного объекта в своей цепочке.

Если вы выбрали подчиненные ЦС, вам нужно будет повторно подписать только подчиненные ЦС с этим новым корневым ЦС. Затем вы должны предоставить повторно подписанный(е) сертификат(ы) подчиненного ЦС всем подписчикам конечных объектов, которые должны настроить свои службы/приложения для представления этого повторно подписанного сертификата подчиненного ЦС в своей цепочке. Примечание: не меняйте ключ² подчиненный ЦС здесь, в противном случае вам придется заново подписывать все сертификаты конечного объекта с помощью подчиненного ЦС с измененным ключом.

В любом случае вам нужно будет распространить новый корневой сертификат ЦС среди всех доверяющих сторон и настроить их всех так, чтобы они доверяли этой новой цепочке.

В зависимости от размера вашего имущества, это может быть довольно серьезное предприятие. В обоих сценариях:

Вы повторно вводите свой корневой ЦС один раз;
Владельцам ваших служб/приложений потребуется перенастроить свою службу для использования заменяющих сертификатов ЦС в цепочке;
Вам нужно будет распространить корневой ЦС на все проверяющие стороны;

Если вы не выбрали подчиненный ЦС, вам нужно будет повторно подписать все сертификаты конечных объектов тоже.

¹ Переподписать означает, что сертификат просто переподписывается ЦС. Единственный атрибут, который изменится, — это подпись и, возможно, даты выпуска/истечения срока действия.

² Повторный ключ означает, что для сертификата создается новая пара ключей, и сертификат повторно подписывается ЦС. Ни один атрибут, кроме открытого ключа, и, возможно, даты выпуска/истечения срока действия не изменяются.

0 + 0

Admin

Этот вопрос на других языках:

EN: CentOS Certificate Authority increase key strength

TH: ผู้ออกใบรับรอง CentOS เพิ่มความแข็งแกร่งของคีย์

RO: Autoritatea de certificare CentOS crește puterea cheii

RU: Центр сертификации CentOS повышает надежность ключа

VI: Cơ quan cấp chứng chỉ CentOS tăng cường độ chính

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.