Igen és nem. Kicsit ízekre szedem az írásod.
Nem csak CA, hanem a normál tanúsítvány kibocsátása is több emberen megy keresztül - lásd: a nyilvánosan elérhető szabályzatokat.
Megtörtént eset velem - nem bizalmi szolgáltatónál -, hogy én szúrtam ki a hibát a kibocsátásra kerülő tanúsítványban. Volt kolléga / kolléganő, aki picit hisztizett, hogy hát javítsam ki, ha látok benne hibát. Nyilván én nem javíthatom ki csak úgy. Azt meg kell beszélni, dokumentálni stb. Sajnos nem mindegyik kolléga / kolléganő volt mindig elég precíz - "jól van az úgy".
HSM-ek "barátságos" felülete: ez jó, ezt felírom magamnak. 😂🤣
Nem magát a szűken 5-10 parancsot kiadni nehéz. Hanem a teljes folyamatot, a körítést összerakni. Az meg simán áll 150-200 lépésből. Elcseszed a 75. lépést, de csak a 130.-nál jössz rá. KO a köbön.
Egy bizalmi szolgáltatótól nyilván elvárható, hogy hosszú évek munkájával ezeket kidolgozta. Csak hát jönnek a gittegyletek - CCADB, Google, Microsoft, NMHH stb. -, akik mindig imádnak valamit kavarni. Ha az adott cégnél még fluktuáció, elvándorlás is fellép, akkor nem csoda, ha esik-kel minden folyamat. Ez is táptalaja a hibáknak.
De, az intermediate CA és a normál tansi kibocsátása nagyon is eltérő folyamat. Teljesen másképp kell dokumentálni, nyilvántartani, kezelni. Egy normál tansinál a lejárat előtt elegendő a megújítás és megy tovább az élet. Viszont egy intermediate-nél új intermediate-t kell kiadni már évekkel korábban - praktikusan 3-5 évvel korábban, mint hogy a régi intermediate lejárna. Amíg az új subCA bekerül a "vérkeringésbe", az is idő - addig nem lehet élesben használni.
Itt a folyamatok voltak elcseszve. Egyszerűen nem volt hatásvizsgálat, hogy mit jelent a monitoring rendszer ilyen hosszú (több napos-hetes) karbantartása.
Rosszmájúan azt is el tudom képzelni, hogy fentről jött az ukáz: nem baj, jó lesz az úgy.