Problem is that te certificate is valid for 1 year only and we have to
redeploy it and reencrypt passwords everywhere every year.
In realtà, dovresti essere in grado di ottenere un nuovo certificato mentre riutilizzi la vecchia coppia di chiavi. In questo modo avresti comunque un certificato valido pur essendo in grado di decrittografare i dati senza ricodifica.
how to safely store CA certificate?
Il modo più semplice ed economico (e meno sicuro) è di avere la chiave privata della CA in un file crittografato con password su un server che consideri sicuro.
Un passo avanti sarebbe quello di acquistare una smartcard o un token crittografico dotato di un'interfaccia PKCS # 11 per l'archiviazione della chiave e l'esecuzione delle operazioni CA.
L'opzione più sicura è l'acquisto di un Hardware Security Module (HSM) che è tecnicamente una smartcard molto veloce e molto sicura (e molto costosa, pensa a migliaia di migliaia di euro).
What is a reasonable expiration time for the self signed certificates
derived from our CA?
keylength.com offre una panoramica di quanto tempo chiavi con una certa dimensione possano essere considerate sicure dal punto di vista di oggi. Non dovresti superare questi limiti.
Are there tools to make this whole process simpler and secure?
Naturalmente. Uno strumento piccolo e facile sarebbe XCA per esempio. Se si prevede di emettere molti certificati o funzionalità PKI più avanzate, la migliore soluzione open source disponibile è EJBCA . Molto potente, ma richiede molto più tempo per abituarsi.