Non è necessario generare una nuova chiave se non lo si desidera o la chiave è stata compromessa (ma si spera che, se si sa che la chiave è stata compromessa, l'hai sostituita da tempo).
La maggior parte delle CA ti consente di riemettere un certificato con lo stesso soggetto, semplicemente aggiornando la data di scadenza.
In primo luogo, dovrai seguire gli stessi passaggi dell'acquisto del certificato, inclusa la generazione di una nuova (ma non necessariamente più lunga) coppia di chiavi.
I certificati scadono in parte perché le società di certificazione amano il normale business, ma soprattutto perché non ci sono processi validi per la revoca dei certificati compromessi nei browser Web degli utenti finali, quindi avere una data di scadenza sul certificato significa almeno che può essere " essere abusato indefinitamente se viene compromesso
Un certificato deve essere rinnovato perché ha una data di scadenza. Quando il certificato è scaduto, i clienti si rifiuteranno di usarlo più (nel contesto del Web, i browser mostrano un avviso spaventoso in quella situazione).
Quindi la domanda è: perché c'è una data di scadenza nel certificato? In teoria, questo è un modo per mantenere piccoli gli elenchi di revoca. Una lista di revoca dei certificati (CRL) designa tutti i certificati emessi da una determinata CA e che deve non essere usato più, anche se "sembrano OK". La revoca è l'atto di "annullare" un certificato. Ad esempio, se una chiave privata viene compromessa (rubata), il legittimo proprietario della chiave informa la CA, che quindi revoca il certificato includendolo nel suo CRL periodicamente pubblicato - in modo che i client smettano di accettare il certificato corrispondente. Per costruzione, un CRL può solo crescere (come i non-messia, i certificati muoiono e quindi rimanere morti), quindi è stato progettato un trucco: i certificati scaduti non devono essere inclusi in un CRL (se un certificato è scaduto, i client non lo useranno - non hanno bisogno di sapere se è stato anche revocato). Ciò mantiene sotto controllo le dimensioni del CRL, poiché le vecchie voci vengono così rimosse.
Questa è la teoria delle date di scadenza. Per quanto riguarda la pratica, Peter Gutmann offre la seguente spiegazione alternativa nella sua guida di stile X.509 :
This field denotes the time at which you have to pay your CA a renewal fee to get the certificate reissued.
Una terza spiegazione è che il rinnovo consente alla CA di migrare le cose. Per esempio. l'URL al quale il CRL può essere scaricato è scritto nei certificati stessi; se i certificati non sono mai scaduti, quell'URL dovrebbe essere eterno - e l'eternità è un po 'lunga, per un business.
Quale spiegazione scegli in cui credere, dipende da te.
Per quanto riguarda i dettagli dell'operazione di rinnovo, dipendono realmente dalla CA. Non vi è alcuna impossibilità concettuale per la CA di costruire un nuovo certificato identico a quello vecchio, fatta eccezione per la data di scadenza, firmarlo e inviarlo a voi. Questo non richiede nemmeno alcuna azione da parte tua. Tuttavia, alcuni CA vorranno di più da te, forse anche la generazione di una nuova coppia di chiavi (come hai fatto quando hai ottenuto il primo certificato). La CA potrebbe richiedere una chiave più lunga, se hanno una politica severa sulle lunghezze delle chiavi e la vecchia chiave non è più conforme a tale politica. In teoria, non è compito di CA imporre lunghezze minime delle chiavi (i client dovrebbero prendere questa decisione in base alle singole istanze), ma in pratica la CA fa impone tipi e lunghezze chiave. La CA potrebbe anche richiedere una nuova generazione di chiavi nel caso in cui non si preoccupassero di implementare una specifica operazione di rinnovo.
Why do certificates need to be renewed in the first place?
Ciò accade perché:
Will I need to generate a new longer public key private key pair?
No. A meno che il tuo CA non te lo chieda per un motivo o per un altro.
If I have deployed a digital certificate on a webserver and if it needs to be renewed then what steps do I need to follow?
Dipende tutto dalla tua CA, ma in generale non hai niente da fare da solo.
Leggi altre domande sui tag cryptography public-key-infrastructure certificates