Приветствую! Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в x509 и OpenSSL.
Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать все сертификаты подписанные этим subCA? Расклад такой: 1. Есть свой CA который находится в доверенном окружении. 2. Есть subCA, подписанный CA, который выпускает сертификаты для клиентов. К сожалению, он может быть скомпрометирован. Про его компрометацию и ее дату мы будем знать. Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались валидными. openssl verify и certtool --verify считают что если subCA отозван по любой причине то все выпущенные им сертификаты уже не валидны. Не взирая на даты выпуска сертификата и отзыва subCA. Если при отзыве subCA дата в -crl_compromise никак не учитывается и сертификаты нужно перевыпускать обязательно то есть ли возможность как-то объяснить серверу что клиентов с сертификатами выпущенными определенным subCA после даты N пускать нельзя? -- With Best Regards, Maksym Tiurin JID: [email protected] -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/[email protected]
