4. Upravljanje certifikatov

Scenariji: 4
FFI funkcije: ~30
Status: Načrtovano

Ta kategorija zajema vse scenarije za upravljanje življenjskega cikla certifikatov. Obnova, ponovna izdaja ključa, arhiviranje in varnostno kopiranje certifikatov.

Scenariji

ID Scenarij Opis Kompleksnost Status
4.1 Obnova certifikata (Renewal) Podaljšanje iztekajočega certifikata Srednja Načrtovano
4.2 Ponovna izdaja ključa (Re-Key) Nov par ključev, nov certifikat Srednja Načrtovano
4.3 Arhiviranje certifikatov Varno shranjevanje izteklih certifikatov Nizka Načrtovano
4.4 Varnostna kopija in obnovitev Varnostno kopiranje certifikatov in ključev Srednja Načrtovano

Življenjski cikel

flowchart LR subgraph ACTIVE["AKTIVNO"] NEW[Novo izdano] INUSE[V uporabi] end subgraph RENEWAL["OBNOVA"] RENEW[Obnova] REKEY[Ponovna izdaja] end subgraph END["KONEC"] EXPIRE[Poteklo] REVOKE[Preklicano] ARCHIVE[Arhivirano] end NEW --> INUSE INUSE --> RENEW --> INUSE INUSE --> REKEY --> INUSE INUSE --> EXPIRE --> ARCHIVE INUSE --> REVOKE --> ARCHIVE style INUSE fill:#e8f5e9 style REVOKE fill:#ffcdd2

Obnova proti ponovni izdaji ključa

Operacija Ključ Serijska št. Primer uporabe
Obnova Isti Nova Ključ še varen, samo podaljšanje veljavnosti
Ponovna izdaja Nov Nova Sum ogroženosti, zamenjava algoritma

Najboljša praksa: Pri PQ migraciji vedno izvedite ponovno izdajo ključa za prehod s klasičnih na ML-DSA.

Avtomatizacija

Sprožilec Akcija Predčasnost
30 dni pred iztekom Opozorilo po e-pošti -
14 dni pred iztekom Zagon samodejne obnove -
7 dni pred iztekom Eskalacija -
Iztek Deaktivacija certifikata -

Hiter začetek kode

Obnova

// Nalaganje obstoječega certifikata
var oldCert = ctx.LoadCertificate("server.crt.pem");
var privateKey = ctx.LoadPrivateKey("server.key.pem", password);
 
// Obnova: Nov certifikat z istim ključem
var csr = ctx.CreateCertificateRequest(privateKey, oldCert.Subject);
var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365);
 
newCert.ToPemFile("server-renewed.crt.pem");

Ponovna izdaja ključa

// Generiranje novega para ključev (npr. migracija na ML-DSA)
using var newKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65);
 
// CSR z novim ključem, istim Subject
var csr = ctx.CreateCertificateRequest(newKey, oldCert.Subject);
var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365);
 
// Varno uničenje starega ključa
oldKey.Dispose();

Povezane kategorije

Kategorija Povezava
3. Izdaja certifikatov Nov certifikat ob ponovni izdaji
6. Preklic Preklic starega certifikata ob ponovni izdaji
11. Upravljanje ključev Rotacija ključev

« ← 3. Izdaja certifikatov | ↑ Scenariji | 5. Validacija → »

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

, , , , ,