Immagina di avere una root offline di Microsoft che funziona da metà anno, ma improvvisamente voglio includerla nella gerarchia della mia azienda, rassegnandola alla radice ufficiale della società, ma ho bisogno che entrambi continuino a funzionare normalmente, emettendo i loro crls e tutti quel personale.
Sono in grado di recuperare le chiavi private dall'hsm e spostarle nell'altro mondo di sicurezza.
È anche possibile? Quale sarebbe il modo migliore per agire considerando il mio caso?
Grazie!
È possibile che la riassegnazione della CA principale come CA subordinata sia possibile.
Teoricamente non hai nemmeno bisogno della cooperazione della "root offline" e della sua chiave privata. Il nuovo über-CA emette solo un nuovo certificato contenente la chiave pubblica e il nome dell'ex-root, e il gioco è fatto; questa informazione è comunque pubblica (sono nel certificato di ex-root, che è pubblico). Tuttavia, in pratica, il über-CA potrebbe preferirlo se riceve una richiesta di certificato firmata dalla stessa radice, quindi utilizzando la sua chiave privata.
Normalmente, dovresti essere in grado di creare un file di richiesta con certreq.exe ( che dovrebbe già essere presente sulla macchina). Usa certreq -new con un file di criteri che contiene le proprietà KeyContainer e ProviderName per puntare alla chiave privata esistente della tua radice. assicurati di specificare lo stesso DN soggetto identico a quello utilizzato nel certificato corrente della radice precedente: la condizione per il nuovo certificato ex-root è accettabile in sostituzione di quella corrente è che utilizza lo stesso DN e lo stesso pubblico chiave.
Una volta ricevuta la richiesta di certificato, trasportarla alla über-CA, inviarla e utilizzare i propri poteri amministrativi per autorizzare l'emissione. Ciò presuppone che la über-CA accetti di produrre certificati di CA secondari, pertanto potrebbe essere necessario modificare e / o abilitare il modello di certificato pertinente in tale CA.
Fatto questo , il nuovo certificato esiste e i client possono utilizzarlo per convalidare i certificati emessi dall'ex-root anche se si fidano solo della über-CA. Tuttavia, questo funziona solo se i suddetti client vedono il nuovo certificato CA secondario. È possibile forzarlo forzatamente nell'archivio "CA intermedio" sulle macchine client. In alternativa, è possibile inserirlo in un sito Web a cui fanno riferimento i certificati emessi (di fine entità).
In effetti, qualsiasi certificato in genere contiene una Authority Information Access estensione standard che include un URL indicando un luogo da cui è possibile ottenere il certificato della CA emittente. Questa è la base per la creazione di percorsi quando i certificati CA intermedi pertinenti non sono prontamente disponibili. È probabile che la tua ex radice attualmente emetta certificati con, come AIA, un URL che punta al proprio certificato autofirmato (su un sito Web, in alcuni server LDAP ...). Se si desidera che i client ottengano automaticamente il nuovo certificato CA subordinato emesso per l'ex-root, allora dovrebbe essere sufficiente sostituire il certificato autofirmato ex root (ovunque sia memorizzato) con il nuovo certificato CA secondario.
Nota che l'ex-root deve continuare a rilasciare CRL secondo la sua politica.
Leggi altre domande sui tag public-key-infrastructure certificates