====== 4.6 Upravljanje certifikatov ======

Upravljanje PQ certifikatov.

===== Vrste certifikatov =====

^ Vrsta ^ Lokacija ^ Rotacija ^
| Strežniški certifikat | %CERTS_PATH%\server.pfx | Letno |
| Root-CA | %CERTS_PATH%\CA\root-ca.crt | 10+ let |
| Odjemalčevi certifikati | Izdani prek CA | Letno |

===== Obnova strežniškega certifikata =====

<code powershell>
# 1. Zahtevaj nov certifikat
# 2. Posodobi konfiguracijo proxyja
# 3. Ponovno zaženi storitev proxyja

Restart-Service "DataGatewayProxy"
</code>

===== Izdajanje odjemalčevih certifikatov =====

<code powershell>
# Prejmi CSR od odjemalca
# Podpiši certifikat
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key \
    -CAcreateserial -out client.crt -days 365
</code>

===== Preklic (Revocation) =====

<code powershell>
# Prekliči certifikat
openssl ca -revoke client.crt -keyfile ca.key -cert ca.crt

# Posodobi CRL
openssl ca -gencrl -out ca.crl -keyfile ca.key -cert ca.crt
</code>

===== Trust-Server =====

Centralni Trust-Server validira certifikate:

<code>
POST https://trust.intern/api/validate
{
  "certificate": "base64-encoded-cert",
  "purpose": "client-auth"
}
</code>

Odgovor:
<code javascript>
{
  "valid": true,
  "subject": "CN=developer1",
  "issuer": "CN=Internal CA",
  "expiresAt": "2025-12-31T23:59:59Z"
}
</code>

===== PQ-Crypto knjižnica =====

Za programsko upravljanje certifikatov s PQ podporo glejte:

  * [[..:..:..:..:..:pqcrypt:developer:beispiele:zertifikat-verwaltung:start|Podrobna navodila: Upravljanje certifikatov]]
  * [[..:..:..:..:..:pqcrypt:api:wvds-system-security-cryptography:x509certificates:x509storeextensions|X509Store Extensions]]
  * [[..:..:..:..:..:pqcrypt:api:wvds-system-security-cryptography:x509certificates:certificaterevocationlistextensions|CRL Extensions]]
  * [[..:..:..:..:..:pqcrypt:developer:beispiele:pki-aufbau:start|Izgradnja PKI s PQ]]