Sajnos nem keverem össze. A Root CA és sub CA között csak a hierarchia szintjében van különbség.
Az új intermediate CA-nál is rengeteg feladat van. Néhány a listáról:
- Cégen belül tisztázni kell, hogy 1-1 veszi át az új sub CA a feladatot, netalán átalakításra kerül a hierarchia - pl: lehet, hogy X, Y és Z tansikat 2025-től már nem 1, hanem 3 új sub CA adja ki.
- eIDAS hatálya alá tartozik vagy sem? Más protokoll vonatkozik rá.
- Ki kell dolgozni az új intermediate CA technikai paramétereit. Ez alapos kutatással, RFC olvasással, szakmai fórumokról való tájékozódással és egyeztetésekkel jár. Ha pl: kivezetik az RSA-t, változtatnak a hashelésen, akkor ezt az már tudni kell az új sub CA kibocsátásakor.
- Ki kell dolgozni az átállás időpontját és menetrendjét. Nagyon nem triviális - bármennyire is annak tűnik. Ezt kommunikálni kell az ügyfelek felé is.
- A céges processzeket, doksikat hozzá kell igazítani az új intermediate CA-hoz. Mindez megfejelve auditokkal.
- Fel kell venni a kapcsolatot az illetékes szervekkel az új intermediate CA kibocsátása miatt. Ők kérhetnek módosításokat a folyamatokban, plusz biztonsági elemeket stb. Ezekre fel kell készülni.
- El kell intézni, hogy az új sub CA bekerüljön a megfelelő helyekre. Továbbá ők visszaigazolják, hogy befogadják az új sub CA-t.
- Figyelni kell a tanúsításokra. Ha pl: az XY HSM nem tanúsított EC-re vagy lejárna a tanúsítása még az intermediate CA lejárta előtt, akkor ezt kezelni kell. Akár új HSM beszerzésével még az új intermediate CA kibocsátása előtt.
- Tesztelni, tesztelni és tesztelni még ügyfelek felé élesítés előtt. DR teszt is természetesen része ennek.
- Teszt CA-kat, teszt hierarchiákat építeni - főleg algoritmus váltás (RSA -> ECC) előtt. Picit egyszerűbb csak, mint az éles, nem sokkal.
Mindezek mellett fenn kell tartani a napi működést is egy hitelesítés szolgáltatónál.
Igen, lehet olyan rendszer, ahol egy intermediate CA csak pár hónapig él (találkoztam ilyennel). Ott nyilván sokkal gyorsabban le kell futniuk a fenti feladatoknak. Nem is SSL / TLS intermediate CA volt.