Dire, creo un CSR con OpenSSL e lo mando a una CA principale per la firma. Supponiamo che il certificato sia stato rilasciato per 2 anni. Due anni sono quasi finiti e il certificato sta per scadere. Devo ancora avere il CSR originale per estenderlo o come viene gestito? O riceverò un nuovo certificato dopo questi 2 anni?
Il tuo CSR è essenzialmente un wrapper per la tua chiave pubblica, insieme ad alcune informazioni identificative (dominio, nome dell'organizzazione, locale, regione, paese ecc.) e una firma digitale (usando la tua chiave privata, verificabile tramite la chiave pubblica che contiene)
La CA principale che stai utilizzando per la firma determinerà quanti di questi campi sono realmente necessari; al minimo, una CA estrarrà solo la chiave pubblica dal tuo CSR, quindi la risposta si riduce a verificare con la CA ciò di cui hanno bisogno. La maggior parte delle CA che conosco sosterrà un certificato di "rinnovo" (che genera un nuovo certificato che è quasi identico a quello esistente, ma con un nuovo periodo di validità) dal CSR originale. In genere, inoltre, consentono di fornire facoltativamente un nuovo CSR per modificare la chiave pubblica e imporre che le altre informazioni siano uguali o semplicemente ignorare qualsiasi informazione diversa nel nuovo CSR.
Ad esempio, la Entrust Datacard per la procedura guidata di acquisto di certificati al dettaglio estrae il dominio, la chiave pubblica e qualsiasi alternativa soggetto Nomi del CSR e scarta tutto il resto. I campi di informazioni dell'organizzazione e il periodo di validità del certificato vengono popolati tramite la loro interfaccia utente.
Leggi altre domande sui tag certificates