#certificate #pki #ca
#сертификат #pki #ca
Вопрос:
Существуют две отдельные виртуальные машины CA (Windows Server 2012):
- RootCA
- SubCA — создан / подписан RootCA
RootCA отключен и находится в автономном режиме (нет подключения к сети).
Как обновить Microsoft SubCA?
SubCA действует уже более года, но мы хотим планировать заранее. Корневые и вспомогательные центры сертификации не подключены к домену Windows, он не используется для Active Directory. SubCA используется для создания SSL-сертификатов для наших внутренних серверов — Apache, Nginx, IIS и др.
Сертификаты RootCA и SubCA являются надежными на компьютерах с Windows и Linux (как на серверах, так и на рабочих станциях).
Необходимо ли добавлять недавно обновленный сертификат SubCA в качестве доверенного после его обновления? Или он уже будет доверенным, но теперь он просто обновляется?
Ответ №1:
Обновленный SubCA будет надежным, поскольку он будет подписан уже доверенным RootCA — вот как работает PKI.
Никогда не добавляйте новый сертификат SubCA в хранилище доверия, поскольку ему нельзя явно доверять. Ему доверяют только неявно, потому что он выдает CA (в данном случае Root), которому доверяют. Помните, что если вы хотите добавить его в хранилище доверия, а затем решите, что подписка была скомпрометирована и поэтому требует отзыва, вам придется вручную удалить его из всех хранилищ доверия — трудоемкий процесс.
Вместо этого вам нужно будет предоставить всем подписчикам этот новый сертификат SubCA при следующем обновлении их сертификата конечного объекта, чтобы они представляли правильную цепочку при подключении проверяющих сторон (как того требует протокол TLS).
В мире Windows вы можете добавить его в хранилище промежуточных ЦС (помните, не в хранилище корневых ЦС!), Чтобы серверы имели его под рукой, когда их сертификат конечного объекта обновляется вспомогательным ЦС. Windows определит, какой сертификат центра сертификации отправлять при обновлении сертификата конечного объекта.
В мире, отличном от Windows, вы должны прочитать документацию к приложению, чтобы определить, где должны быть установлены сертификаты CA. Довольно часто они добавляются к файлу, содержащему сертификат конечного объекта, но он может отличаться — так что проверьте.
Комментарии:
1. Спасибо garethTheRed за ответ. Итак, если RootCA пользуется доверием, и мы создадим новый SubCA2, подписанный RootCA, тогда SubCA2 тоже будет пользоваться доверием? Может быть, он подписан доверенным RootCA?
2. О сертификатах конечных объектов (например, сертификате сервера SSL / TLS) — при следующем обновлении сертификата SSL / TLS новый сертификат SubCA должен быть добавлен как доверенный на сервере? Или сервер просто должен где-то хранить его, чтобы представить цепочку?
3. Я немного изменил свой ответ, но ответы на ваши дополнительные вопросы уже есть. Это да, да, нет, да — в таком порядке 🙂