~~NOTOC~~
====== 4. Upravljanje certifikatima ======

<WRAP round info>
**Scenariji:** 4 \\
**FFI funkcije:** ~30 \\
**Status:** ⏳ Planirano
</WRAP>

Ova kategorija obuhvaća sve scenarije za upravljanje životnim ciklusom certifikata. Obnova, Re-Key, arhiviranje i sigurnosna kopija certifikata.

----

===== Scenariji =====

^  ID  ^  Scenarij  ^  Opis  ^  Složenost  ^  Status  ^
| [[.:renewal|4.1]] | Obnova certifikata (Renewal) | Produljenje certifikata koji istječe | ⭐⭐⭐ | ⏳ |
| [[.:rekey|4.2]] | Obnova ključa (Re-Key) | Novi par ključeva, novi certifikat | ⭐⭐⭐ | ⏳ |
| [[.:archivierung|4.3]] | Arhiviranje certifikata | Sigurno pohranjivanje isteklih certifikata | ⭐⭐ | ⏳ |
| [[.:backup|4.4]] | Sigurnosna kopija i oporavak | Sigurnosna kopija certifikata i ključeva | ⭐⭐⭐ | ⏳ |

----

===== Životni ciklus =====

<mermaid>
flowchart LR
    subgraph ACTIVE["🟢 Aktivan"]
        NEW[Novo izdano]
        INUSE[U uporabi]
    end

    subgraph RENEWAL["🔄 Obnova"]
        RENEW[Obnova]
        REKEY[Re-Key]
    end

    subgraph END["⏹️ Kraj"]
        EXPIRE[Isteklo]
        REVOKE[Opozvano]
        ARCHIVE[Arhivirano]
    end

    NEW --> INUSE
    INUSE --> RENEW --> INUSE
    INUSE --> REKEY --> INUSE
    INUSE --> EXPIRE --> ARCHIVE
    INUSE --> REVOKE --> ARCHIVE

    style INUSE fill:#e8f5e9
    style REVOKE fill:#ffcdd2
</mermaid>

----

===== Obnova vs Re-Key =====

^  Operacija  ^  Ključ  ^  Serial  ^  Slučaj korištenja  ^
| **Obnova** | Isti | Novi | Ključ još uvijek siguran, samo produljiti valjanost |
| **Re-Key** | Novi | Novi | Sumnja na kompromitaciju, promjena algoritma |

<WRAP round tip>
**Najbolja praksa:** Kod PQ migracije uvijek izvršiti Re-Key za prelazak s klasičnih na ML-DSA algoritme.
</WRAP>

----

===== Automatizacija =====

^  Okidač  ^  Akcija  ^  Vrijeme unaprijed  ^
| 30 dana prije isteka | Upozorenje e-mailom | - |
| 14 dana prije isteka | Pokretanje auto-obnove | - |
| 7 dana prije isteka | Eskalacija | - |
| Istek | Deaktivacija certifikata | - |

----

===== Brzi početak koda =====

==== Obnova ====

<code csharp>
// Učitavanje postojećeg certifikata
var oldCert = ctx.LoadCertificate("server.crt.pem");
var privateKey = ctx.LoadPrivateKey("server.key.pem", password);

// Obnova: Novi certifikat s istim ključem
var csr = ctx.CreateCertificateRequest(privateKey, oldCert.Subject);
var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365);

newCert.ToPemFile("server-renewed.crt.pem");
</code>

==== Re-Key ====

<code csharp>
// Generiranje novog para ključeva (npr. migracija na ML-DSA)
using var newKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65);

// CSR s novim ključem, istim Subjectom
var csr = ctx.CreateCertificateRequest(newKey, oldCert.Subject);
var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365);

// Sigurno uništavanje starog ključa
oldKey.Dispose();
</code>

----

===== Povezane kategorije =====

^  Kategorija  ^  Odnos  ^
| [[.:zertifikate:start|3. Izdavanje certifikata]] | Novi certifikat kod Re-Key |
| [[.:widerruf:start|6. Opoziv]] | Opoziv starog certifikata kod Re-Key |
| [[.:schluessel:start|11. Upravljanje ključevima]] | Rotacija ključeva |

----

<< [[hr:int:pqcrypt:szenarien:zertifikate:start|← 3. Izdavanje certifikata]] | [[hr:int:pqcrypt:szenarien:start|↑ Scenariji]] | [[.:validierung:start|5. Validacija →]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional//

{{tag>kategorija upravljanje obnova rekey arhiviranje backup}}