Possiamo usare una CA per revocare i certificati generati da un'altra CA?

2

Ho una gerarchia di certificati che contiene:

  • %codice%
    • root-cert (emesso da server1-CA )
      • root-CA (emesso da client1-cert )
    • server1-CA (emesso da server2-CA )
      • root-CA (emesso da client2-cert )

Ho bisogno di generare un file CRL e usarlo sia in servier2-CA che in server1 (o in altri server). Posso revocare i certificati client utilizzando server2 (per avere un file CRL univoco)? O esiste un modo per unire più file CRL?

    
posta Hakim 11.01.2017 - 15:57
fonte

1 risposta

6

No, non in pratica.

No, non puoi. CA può revocare i certificati firmati / emessi solo. C'è una serie di ragioni per questa scelta. Anche se RFC 5280 supporta le autorità di revoca delegate (attraverso la registrazione in Issuing Distribution Point estensione CRL), in pratica non è implementato dai client crittografici nella maggior parte dei casi.

Un semplice esempio: due CA hanno emesso un certificato con numero di serie corrispondente (l'univocità del numero di serie deve essere fornita per ogni chiave CA separata, tecnicamente, due CA possono avere certificati con lo stesso numero seriale) e la si revoca. La domanda: quale certificato hai revocato?

L'unica cosa che puoi fare è revocare il certificato CA subordinato (in pratica revocare tutti i certificati nel percorso di quella CA subordinata).

    
risposta data 11.01.2017 - 16:15
fonte