Обновление корневого сертификата(с тем же приватным ключем)

0

1

Краткая суть:
- Есть свой самодельный корневой сертификат. Выпущено и используется приличное количество как клиентских, так и промежуточных сертификатов.
- В корневом сертификате в свое время указали почту (emailAddress=ABC@EXAMPLE.COM). Почта на текущий момент корректная, но планируется сменить домен.
- При попытке перевыпустить корневой (с тем же номером, публичным ключем и т.д.) оказывается что он не пригоден для проверки поскольку emailAddress становится другим.

ВОПРОС:
- это действительно правильная проверка , т.е. идет сравнение не по CommonName && SerialNumber && Autority Key Identificator && Subject Key Identificator/Issuer , в так же и по «emailAddress=ABC@EXAMPLE.COM,CN=XX,OU=CA XX,O=XXCorp,L=XX City,ST=XX Locationy,C=XX Country»? Или это некорректность конкретной программы?

←	Каким инструментом можно проверить нет ли модифицированных файлов в системе

Более сильный аппаратный крипто на одноплатнике?

→

P.S. для интересующихся выкладываю часть списка команд.(openssl version >= 3 )

openssl x509 -x509toreq -copy_extensions copyall -in /tmp/CA.cer -out /tmp/ca-mod.csr -signkey /tmp/CA.pem  # генерация запроса 
openssl req -in /tmp/ca-mod.csr  -noout -subject -nameopt compat # вытащить текущее наименование (SUBJECT)
openssl x509 -req -in /tmp/ca-mod.csr -CA /tmp/CA.cer -CAkey /tmp/CA.pem -set_serial 0xСЕРИЙНЫЙНОМЕР -out /tmp/ca-mod.crt -days ДНИ -subj "/C=RU............ОБНОВЛЕННЫЙ SUBJECT........"

Atlant ★★★★★
(29.09.23 10:28:56 MSK) автор топика
Последнее исправление: Atlant 29.09.23 10:35:58 MSK (всего исправлений: 1)

перевыпустить - это создать новый. новый это другой. тут дело не в email или другой информации, просто подменить корневой и чтоб работало как раньше нельзя.

то что срок корневого закончился, а им подписано что-то на скажем 3 года вперед это ошибка, так не надо делать.

тут только один способ создаете новый, оставляете старый до окончания его срока и перевыпускаете клиентские новым.

cylon17
(29.09.23 10:55:56 MSK)
Последнее исправление: cylon17 29.09.23 11:03:29 MSK (всего исправлений: 4)

Ответ на: комментарий от cylon17 29.09.23 10:55:56 MSK

перевыпустить - это создать новый. новый это другой. тут дело не в email или другой информации, просто подменить корневой и чтоб работало как раньше нельзя.

Информирую - это можно сделать даже без особых проблем. Да, это не принято, но тем не менее продлить можно. Даже средствами того же openssl.
Вопрос не в том можно или нельзя, вопрос в том как правильно считается что сертификат «идентичный». С точки зрения PKI-инфраструктуры.

Atlant ★★★★★
(29.09.23 11:16:02 MSK) автор топика

Сравнивается всё, что есть в issuer в подписанных дочерних сертификатах.

Только не пойму зачем менять email (всем плевать что в нём написано, тем более если CA не официальный), и зачем его вообще туда вписали.

firkax ★★★★★
(29.09.23 12:10:49 MSK)
Последнее исправление: firkax 29.09.23 12:13:39 MSK (всего исправлений: 1)

Ответ на: комментарий от firkax 29.09.23 12:10:49 MSK

и зачем его вообще туда вписали

нууу ... так получилось =)

Atlant ★★★★★
(29.09.23 15:31:36 MSK) автор топика

←	Каким инструментом можно проверить нет ли модифицированных файлов в системе

Security

Более сильный аппаратный крипто на одноплатнике?

→

Похожие темы