Al momento abbiamo Microsoft Enterprise Certificate Server installato su un computer membro del dominio che rilascia certificati di 1 anno agli utenti per l'autenticazione alla VPN.
Desideriamo iniziare a rilasciare certificati server Web dalla nostra CA per proteggere Dell Open Manage (un'applicazione per la gestione dei sistemi) e anche Microsoft RDP. Perché abbiamo un bel po 'di server (100+) e non ho trovato un modo per automatizzare l'installazione dei certificati (nota l'installazione - non la distribuzione - so come distribuire automaticamente) stiamo considerando l'emissione di certificati per tutta la vita del server. La maggior parte dei nostri server viene utilizzata per 10 anni o meno, quindi vorremmo certificati di 10-15 anni.
Come ho capito, CA non può emettere certificati più lunghi di quanto essi stessi siano validi. Pertanto, se volessimo emettere certificati SSL decennali, il nostro certificato CA radice avrebbe bisogno di essere valido almeno per 11 anni ma in pratica probabilmente per 15-20 anni.
Inoltre, comprendo che più lunga è la durata del certificato, più la chiave privata è suscettibile di compromettere e quindi il desiderio di utilizzare una lunghezza della chiave più lunga per certificati più lunghi.
Sto pensando di rinnovare il certificato di root per una durata maggiore, ma ho le seguenti domande:
1) Generare un certificato di root 15-20 anni nelle migliori pratiche? Ancora una volta capisco idealmente che emetteremo certificati per una durata più breve - ma il lavoro manuale necessario per l'installazione di detti certificati ogni anno non è banale, quindi il desiderio di usare una lunghezza maggiore - purché farlo sia ragionevolmente sicuro
2) Dovremmo usare la lunghezza della chiave 4096 per la CA radice o possiamo usare una chiave più breve? Alcune letture che ho fatto suggeriscono che alcuni dispositivi di rete non supporteranno certificati più lunghi di 2048 bit.
3) Quando si rinnova il certificato radice, è possibile riutilizzare la coppia di chiavi esistente o generare una nuova coppia di chiavi. Capisco che la generazione di una nuova coppia di chiavi sia migliore da un punto di vista della sicurezza, ma lo faremo se i certificati emessi esistenti continueranno a funzionare senza la necessità di apportare modifiche?
Grazie
Brad