Maksym Tiurin writes: > Приветствую! > > Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в > x509 и OpenSSL. > > Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать > все сертификаты подписанные этим subCA? > > Расклад такой: > 1. Есть свой CA который находится в доверенном окружении. > 2. Есть subCA, подписанный CA, который выпускает сертификаты для > клиентов. К сожалению, он может быть скомпрометирован. Про его > компрометацию и ее дату мы будем знать. > > Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? > Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались > валидными.
В общем то что мне надо решается другим способом. Мне, по большому счету, нужно одно - авторизировать легальных клиентов и не пускать нелегальных если кто украдет ключ sybCA и нагенерирует левых сертификатов. Для этого отзывать subCA не нужно. Нужно просто вместо CRL проверки использовать OCSP. > openssl verify и certtool --verify считают что если subCA отозван по > любой причине то все выпущенные им сертификаты уже не валидны. Не взирая > на даты выпуска сертификата и отзыва subCA. > Если при отзыве subCA дата в -crl_compromise никак не учитывается и > сертификаты нужно перевыпускать обязательно то есть ли возможность > как-то объяснить серверу что клиентов с сертификатами выпущенными > определенным subCA после даты N пускать нельзя? -- With Best Regards, Maksym Tiurin JID: [email protected] -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/[email protected]
