超级会员免费看
证书更新、撤销及密钥管理全解析
1. 证书更新
证书更新有替换更新的方式,即创建新的密钥对并用于创建更新的证书签名请求(CSR),这好比“新瓶装新酒”。在此情况下,若要打开旧邮件,需用到旧的私钥,除非用新的公钥对所有旧邮件进行批量重新加密。同时,要在旧证书发布过的所有目录中发布新证书,并通知使用该证书的人从共享地址簿中刷新副本。使用同一密钥对的时间越长,其被破解的可能性就越大,所以替换更新能限制使用某一密钥对的时长。
还可以从任何现有证书(甚至是其他颁发机构的证书)构建有效的CSR,然后像往常一样提交新的CSR进行签名。必要时,在提交前还能更改主题DN信息,可通过替换或滚动密钥对来完成,证书颁发机构(CA)都会欣然为证书签名,因为他们不会留存旧的密钥材料来与公钥进行比对。
2. 证书撤销
证书撤销机制类似于信用卡的撤销。若未支付信用卡账单,信用卡公司会撤销你的刷卡权限。过去,信用卡公司会发布包含所有已撤销信用卡号码的小册子,商店在接受信用卡前会查看册子,若卡号不在其中则接受,这是一种黑名单机制。用户在新册子发布前仍可刷卡消费,这可能使信用卡公司遭受损失;若商店未查看且卡号已在册子中,商店可能要为虚假消费负责。
证书也有类似的证书撤销列表(CRL)机制。CRL是所有已撤销但未过期的证书序列号列表,证书过期后就不应再被接受,其序列号可从CRL中移除。CRL在RFC 5280中有详细规定。
每个证书层次结构(如DigiCert SHA2 Assured ID CA)都有单独的CRL,该层次结构中的每个证书都包含对应CRL的分发点。计算机上可能会缓存多个不同层次结构的CRL,每个都有自己的下次更新日期和时间。
<
订阅专栏 解锁全文
扫一扫
38
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
