È possibile che la riassegnazione della CA principale come CA subordinata sia possibile.
Teoricamente non hai nemmeno bisogno della cooperazione della "root offline" e della sua chiave privata. Il nuovo über-CA emette solo un nuovo certificato contenente la chiave pubblica e il nome dell'ex-root, e il gioco è fatto; questa informazione è comunque pubblica (sono nel certificato di ex-root, che è pubblico). Tuttavia, in pratica, il über-CA potrebbe preferirlo se riceve una richiesta di certificato firmata dalla stessa radice, quindi utilizzando la sua chiave privata.
Normalmente, dovresti essere in grado di creare un file di richiesta con certreq.exe ( che dovrebbe già essere presente sulla macchina). Usa certreq -new
con un file di criteri che contiene le proprietà KeyContainer
e ProviderName
per puntare alla chiave privata esistente della tua radice. assicurati di specificare lo stesso DN soggetto identico a quello utilizzato nel certificato corrente della radice precedente: la condizione per il nuovo certificato ex-root è accettabile in sostituzione di quella corrente è che utilizza lo stesso DN e lo stesso pubblico chiave.
Una volta ricevuta la richiesta di certificato, trasportarla alla über-CA, inviarla e utilizzare i propri poteri amministrativi per autorizzare l'emissione. Ciò presuppone che la über-CA accetti di produrre certificati di CA secondari, pertanto potrebbe essere necessario modificare e / o abilitare il modello di certificato pertinente in tale CA.
Fatto questo , il nuovo certificato esiste e i client possono utilizzarlo per convalidare i certificati emessi dall'ex-root anche se si fidano solo della über-CA. Tuttavia, questo funziona solo se i suddetti client vedono il nuovo certificato CA secondario. È possibile forzarlo forzatamente nell'archivio "CA intermedio" sulle macchine client. In alternativa, è possibile inserirlo in un sito Web a cui fanno riferimento i certificati emessi (di fine entità).
In effetti, qualsiasi certificato in genere contiene una Authority Information Access
estensione standard che include un URL indicando un luogo da cui è possibile ottenere il certificato della CA emittente. Questa è la base per la creazione di percorsi quando i certificati CA intermedi pertinenti non sono prontamente disponibili. È probabile che la tua ex radice attualmente emetta certificati con, come AIA, un URL che punta al proprio certificato autofirmato (su un sito Web, in alcuni server LDAP ...). Se si desidera che i client ottengano automaticamente il nuovo certificato CA subordinato emesso per l'ex-root, allora dovrebbe essere sufficiente sostituire il certificato autofirmato ex root (ovunque sia memorizzato) con il nuovo certificato CA secondario.
Nota che l'ex-root deve continuare a rilasciare CRL secondo la sua politica.