Sziasztok
Van egy működő konfigom.
Saját Root CA (selfSigned)
rengeteg kliens és szerver tanúsítvánnyal.
Nemsokára lejáró ROOT CA certificate.
Hogyan tudom úgy megújítani a root ca-t, hogy a legkevesebb
rendszerleállással járjon?
Egy-egy webszerver használja a klinseket azonosításra.
köszönöm.
- 1198 megtekintés
Hozzászólások
Tehat szerver oldalon apache van, kliens oldalon bongeszobe van importalva kliens es CA cert, vagy valami alkalmazas hivogat apit netan egyeb?
- A hozzászóláshoz be kell jelentkezni
igen a szerver oldal apacs, kliens hivogat böngészővel
- A hozzászóláshoz be kell jelentkezni
Csak egy ötlet: csinálj egy új self-signed root-CA-t, az összes meglévő kliens és szerver certet írd alá azzal is, aztán cseréld ki szépen mindenhol... Mikor mindenhol bent az új root CA által is aláírt cert, akkor kicserélheted a régi root CA certet az újra.
De akárhogyis ez nem lesz teljesen fájdalommentes.
- A hozzászóláshoz be kell jelentkezni
Hat igen, kb azt lehet tenni, hogy csinalsz uj CA-t, vagy azzal is alairod a regi certeket (server es kliens) vagy inkabb csinalsz nekik ujat es azokat irod ala vele (mar csak azert is mert lehet regi certek meg sha1-esek). Utana klienseknek elkuldod az uj kliens es CA certuket hogy importaljak be azt is bongeszobe, ha elvileg ez meg volt akkor szervereken lecsereled a certeket.
- A hozzászóláshoz be kell jelentkezni
Root CA-ra minek lejárat?
de ha már van:
- jó esetben a kliens tanúsítványok sűrűbben járnak le, tehát azokat amúgy is cserélni kell rendszeresen.
- amúgy egyéb (rossz) esetben is mindent cserélni kell, csak Te nem terveztél ezzel ;)
Szóval cserélni mindenképp kell a klienseken is.
Fájdalommentesebb úgy lehet ha először teríted az új CA-t, utána pedig simán váltasz az új CA által kiadott tanúsítványokra...
Ha a CA-d hamarabb lejár, mint ahogy a cseréket meg tudod oldani -> na az a szívás.
--
zrubi.hu
- A hozzászóláshoz be kell jelentkezni