ROOT CA megújítás (működő CA ) ssl client cert azonosításal Apache-on

 ( Bandita | 2017. október 4., szerda - 17:57 )

Sziasztok
Van egy működő konfigom.
Saját Root CA (selfSigned)
rengeteg kliens és szerver tanúsítvánnyal.
Nemsokára lejáró ROOT CA certificate.
Hogyan tudom úgy megújítani a root ca-t, hogy a legkevesebb
rendszerleállással járjon?
Egy-egy webszerver használja a klinseket azonosításra.
köszönöm.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Tehat szerver oldalon apache van, kliens oldalon bongeszobe van importalva kliens es CA cert, vagy valami alkalmazas hivogat apit netan egyeb?

igen a szerver oldal apacs, kliens hivogat böngészővel

Csak egy ötlet: csinálj egy új self-signed root-CA-t, az összes meglévő kliens és szerver certet írd alá azzal is, aztán cseréld ki szépen mindenhol... Mikor mindenhol bent az új root CA által is aláírt cert, akkor kicserélheted a régi root CA certet az újra.

De akárhogyis ez nem lesz teljesen fájdalommentes.

Hat igen, kb azt lehet tenni, hogy csinalsz uj CA-t, vagy azzal is alairod a regi certeket (server es kliens) vagy inkabb csinalsz nekik ujat es azokat irod ala vele (mar csak azert is mert lehet regi certek meg sha1-esek). Utana klienseknek elkuldod az uj kliens es CA certuket hogy importaljak be azt is bongeszobe, ha elvileg ez meg volt akkor szervereken lecsereled a certeket.

Root CA-ra minek lejárat?

de ha már van:
- jó esetben a kliens tanúsítványok sűrűbben járnak le, tehát azokat amúgy is cserélni kell rendszeresen.

- amúgy egyéb (rossz) esetben is mindent cserélni kell, csak Te nem terveztél ezzel ;)

Szóval cserélni mindenképp kell a klienseken is.
Fájdalommentesebb úgy lehet ha először teríted az új CA-t, utána pedig simán váltasz az új CA által kiadott tanúsítványokra...
Ha a CA-d hamarabb lejár, mint ahogy a cseréket meg tudod oldani -> na az a szívás.

--
zrubi.hu