Объясните, можно ли выпустить еще сертификаты на подобии CA или продлить существующий на MikroTik для SSTP?

Question

[Даниил]

Привет, я не знаю принципа работы сертификатов досконально, только приблизительно, от того у меня вопрос, маршрутизатор MikroTik нужен работающий SSTP по сертификату, на маршрутизаторе выпустил сертификат CA с флагом KLAT, сертификат Server с флагом KAT, дата действия CA 365 дней, а Server 3650 дней, скоро подходит к концу сертификат CA, можно ли его продлить, как? если нет, то как выпустить новый сертификат не дожидаясь окончания первого и чтоб второй уже можно было импортировать на клиентские тачки ?

P.S. Прошу камнями не кидаться, если есть статья о объяснении принципа работы Корневых и Клиентских сертификатов прошу приложить, толкового еще ничего не встретил на просторах интернета

Comments

[ky0]

"толкового еще ничего не встретил на просторах интернета"

Да, в интернете поди найди информацию-то...

Answer 1

[Valentin Barbolin]

дата действия CA 365 дней

знатно промахнулся) лет на 20 стоило выпускать. Как только он заканчивается, то все сертификаты которые он подписал стают не валидны.

По хорошему надо все переделать с нуля.

Если нужен как-то промежуточный этап, то можна сделать кросс подпись. Выпускаем новый сертификат CA со сроком жизни 20 лет, и выпустить новый сертификат для sstp но подписать его зразу двумя сертификатами CA - это кросс подпись. Это даст тебе время обновить CA на клиентах, т.к. этому сертификату sstp будут доверять клиенты и с новим и со старым CA.

Comments

[Даниил]

По вашему ответу я начинаю понимать, что главный сертификатом является CA, и я не должен был его распространять на клиенты, мне нужно было его хранить и им подписывать другие сертификаты для клиентов)

[Valentin Barbolin]

Даниил,

я не должен был его распространять на клиенты,

Как же тогда клиенты буду проверять подпись?)

Ты не должен распространять приватный ключ от CA. Это надо береч за 7ю замками.

[Ziptar]

Даниил, всё не так.
Есть криптографически связанная пара ключей, состоящая из закрытого и открытого ключа. Есть сертификат открытого ключа, в котором описаны его свойства, области применения и проч., который неразрывно связан с открытым ключом ключевой пары через подпись закрытым ключом либо другой ключевой пары, либо своей собственной ключевой пары. Во втором случае такой сертификат называется самоподписанным. Обычно понятие сертификата открытого ключа сливают с понятием открытого ключа как такового. Все корневые CA сертификаты являются самоподписанными. Все сертификаты открытого ключа, подписанные закрытым ключом другой ключевой пары являются подчинёнными.
Отношения доверия строятся на том, что узел доверяет сертификату открытого ключа CA, и через него так же доверяет сертификатам открытого ключа, подписанным этим CA.

и я не должен был его распространять на клиенты

Таким образом, если узел ничего не знает о CA, то и доверять подписанным им сертификатам не может. Ты не можешь не распространять сертификаты CA, если хочешь, чтобы отношения доверия работали.
А вот закрытый ключ CA, которым подписываются сертификаты, уже распространять нельзя, иначе кто угодно наподписывает им сертификатов в неограниченном количестве.

Answer 2

[CityCat4]

выпустил сертификат CA с флагом KLAT, сертификат Server с флагом KAT, дата действия CA 365 дней, а Server 3650 дней

Ничего не перепутали? Обычно у СА срок действия 5 - 10 - 20 лет, а у обычного - год.

с флагом KLAT, сертификат Server с флагом KAT,

Это не один флаг, а набор флагов. K - есть ключ к сертификату, L - есть CRL, T - доверенный. А - не знаю, что, возможно, что CA на микротике.

Если точно ничего не перепутали, лучше заново выпустить сертификат CA и заново сертификат сервера, потому что как только кончится сертификат CA - все сертификаты, выпущенные им, станут недействительны (однажды столкнулся, #опа еще та была)

Comments

[Ziptar]

Ничего не перепутали? Обычно у СА срок действия 5 - 10 - 20 лет, а у обычного - год.

Ну задать то можно хоть один день при создании.

CA - все сертификаты, выпущенные им, станут недействительны (однажды столкнулся, #опа еще та была)

Это вопрос решаемый, но тоже геморройный.

[CityCat4]

Ziptar,

Это вопрос решаемый, но тоже геморройный.

Это пиZDец какой вопрос - когда у тебя разом протухает полторы сотни сертификатов :)