LINUX.ORG.RU

Обновление корневого сертификата(с тем же приватным ключем)

 ,


0

1

Краткая суть:
- Есть свой самодельный корневой сертификат. Выпущено и используется приличное количество как клиентских, так и промежуточных сертификатов.
- В корневом сертификате в свое время указали почту (emailAddress=ABC@EXAMPLE.COM). Почта на текущий момент корректная, но планируется сменить домен.
- При попытке перевыпустить корневой (с тем же номером, публичным ключем и т.д.) оказывается что он не пригоден для проверки поскольку emailAddress становится другим.

ВОПРОС:
- это действительно правильная проверка , т.е. идет сравнение не по CommonName && SerialNumber && Autority Key Identificator && Subject Key Identificator/Issuer , в так же и по «emailAddress=ABC@EXAMPLE.COM,CN=XX,OU=CA XX,O=XXCorp,L=XX City,ST=XX Locationy,C=XX Country»? Или это некорректность конкретной программы?

★★★★★

P.S. для интересующихся выкладываю часть списка команд.(openssl version >= 3 )

openssl x509 -x509toreq -copy_extensions copyall -in /tmp/CA.cer -out /tmp/ca-mod.csr -signkey /tmp/CA.pem  # генерация запроса 
openssl req -in /tmp/ca-mod.csr  -noout -subject -nameopt compat # вытащить текущее наименование (SUBJECT)
openssl x509 -req -in /tmp/ca-mod.csr -CA /tmp/CA.cer -CAkey /tmp/CA.pem -set_serial 0xСЕРИЙНЫЙНОМЕР -out /tmp/ca-mod.crt -days ДНИ -subj "/C=RU............ОБНОВЛЕННЫЙ SUBJECT........"

Atlant ★★★★★
() автор топика
Последнее исправление: Atlant (всего исправлений: 1)

перевыпустить - это создать новый. новый это другой. тут дело не в email или другой информации, просто подменить корневой и чтоб работало как раньше нельзя.

то что срок корневого закончился, а им подписано что-то на скажем 3 года вперед это ошибка, так не надо делать.

тут только один способ создаете новый, оставляете старый до окончания его срока и перевыпускаете клиентские новым.

cylon17
()
Последнее исправление: cylon17 (всего исправлений: 4)
Ответ на: комментарий от cylon17

перевыпустить - это создать новый. новый это другой. тут дело не в email или другой информации, просто подменить корневой и чтоб работало как раньше нельзя.

Информирую - это можно сделать даже без особых проблем. Да, это не принято, но тем не менее продлить можно. Даже средствами того же openssl.
Вопрос не в том можно или нельзя, вопрос в том как правильно считается что сертификат «идентичный». С точки зрения PKI-инфраструктуры.

Atlant ★★★★★
() автор топика

Сравнивается всё, что есть в issuer в подписанных дочерних сертификатах.

Только не пойму зачем менять email (всем плевать что в нём написано, тем более если CA не официальный), и зачем его вообще туда вписали.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)