2017-05-23 10 views
0

클라이언트 인증서에 서명하는 데 자체 서명 된 인증서를 사용하고 개인 키가 손상된 경우이 인증서를 대체 할 수있는 절차가 있습니다. 슬프게도 이는 모든 클라이언트 인증서가 무효화된다는 의미입니다.CA 인증서 손상으로부터 복구하는 방법

내 시스템에 PKI을 구현하려고합니다. 즉, 중간 CA를 발급하는 데만 사용되는 "콜드"루트 인증서를 가질 수 있으며 클라이언트 인증서에 서명 할 수 있습니다.

따라서 완벽한 PKI 보안 환경에서 클라이언트가 인증서를 다시 서명하지 않고 중간 인증서 개인 키 손상으로부터 어떻게 복구 할 수 있습니까?

오늘 내 개인 서명 인증서로 모든 고객에게 CSR을 다시 보내고 새로운 인증서를 다시 서명해야합니다. 새 인증서에 서명 할 때까지 차단해야합니다.
루트 인증서가 손상되지 않았다고 생각되는 PKI를 사용하면 새로운 중간 인증서로 원활하게 전환 할 수 있습니까? 내 고객을위한 서비스 중단이 아닌 원활한 의미?

예를 들어 물리적으로 다른 두 대의 컴퓨터에서 중간 인증서 2 개를 사용하여 인증서에 서명하면 한 인증서가 취소 되어도 두 번째 서명이 유지 될 수 있습니다. 나 맞아?
이 문제에 "업계 표준"이 있습니까?

답변

1

제대로 구현 된 PKI가 손상된 CA에서 서명 한 모든 인증서를 다시 발행하지 못하게합니다. 서명 CA가 유출 된 경우 모든 인증서를 해지해야합니다. 이중 서명이 도움이되지 않았습니다. 인증서가 해지되었거나 거부되었습니다.

Windows 도메인에서 예를 들어 Active Directory 통합 CA를 사용하고 클라이언트에 자동 등록을 구현할 수 있습니다. 엔터프라이즈에서 letsencrypt와 같은 CA를 구현할 수도 있습니다. 볼더 - ACME CA https://github.com/letsencrypt/boulder