Re: отзыв subCA без перевыпуска сертификатов
Maksym Tiurin writes:
> Приветствую!
>
> Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в
> x509 и OpenSSL.
>
> Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать
> все сертификаты подписанные этим subCA?
>
> Расклад такой:
> 1. Есть свой CA который находится в доверенном окружении.
> 2. Есть subCA, подписанный CA, который выпускает сертификаты для
> клиентов. К сожалению, он может быть скомпрометирован. Про его
> компрометацию и ее дату мы будем знать.
>
> Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты?
> Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались
> валидными.
В общем то что мне надо решается другим способом.
Мне, по большому счету, нужно одно - авторизировать легальных клиентов и
не пускать нелегальных если кто украдет ключ sybCA и нагенерирует левых
сертификатов.
Для этого отзывать subCA не нужно. Нужно просто вместо CRL проверки
использовать OCSP.
> openssl verify и certtool --verify считают что если subCA отозван по
> любой причине то все выпущенные им сертификаты уже не валидны. Не взирая
> на даты выпуска сертификата и отзыва subCA.
> Если при отзыве subCA дата в -crl_compromise никак не учитывается и
> сертификаты нужно перевыпускать обязательно то есть ли возможность
> как-то объяснить серверу что клиентов с сертификатами выпущенными
> определенным subCA после даты N пускать нельзя?
--
With Best Regards, Maksym Tiurin
JID: MrKooll@jabber.pibhe.com
Reply to: