4. Upravljanje certifikatima
Scenariji: 4
FFI funkcije: ~30
Status: ⏳ Planirano
Ova kategorija obuhvaća sve scenarije za upravljanje životnim ciklusom certifikata. Obnova, Re-Key, arhiviranje i sigurnosna kopija certifikata.
Scenariji
| ID | Scenarij | Opis | Složenost | Status |
|---|---|---|---|---|
| 4.1 | Obnova certifikata (Renewal) | Produljenje certifikata koji istječe | ⭐⭐⭐ | ⏳ |
| 4.2 | Obnova ključa (Re-Key) | Novi par ključeva, novi certifikat | ⭐⭐⭐ | ⏳ |
| 4.3 | Arhiviranje certifikata | Sigurno pohranjivanje isteklih certifikata | ⭐⭐ | ⏳ |
| 4.4 | Sigurnosna kopija i oporavak | Sigurnosna kopija certifikata i ključeva | ⭐⭐⭐ | ⏳ |
Životni ciklus
flowchart LR
subgraph ACTIVE["🟢 Aktivan"]
NEW[Novo izdano]
INUSE[U uporabi]
end
subgraph RENEWAL["🔄 Obnova"]
RENEW[Obnova]
REKEY[Re-Key]
end
subgraph END["⏹️ Kraj"]
EXPIRE[Isteklo]
REVOKE[Opozvano]
ARCHIVE[Arhivirano]
end
NEW --> INUSE
INUSE --> RENEW --> INUSE
INUSE --> REKEY --> INUSE
INUSE --> EXPIRE --> ARCHIVE
INUSE --> REVOKE --> ARCHIVE
style INUSE fill:#e8f5e9
style REVOKE fill:#ffcdd2
Obnova vs Re-Key
| Operacija | Ključ | Serial | Slučaj korištenja |
|---|---|---|---|
| Obnova | Isti | Novi | Ključ još uvijek siguran, samo produljiti valjanost |
| Re-Key | Novi | Novi | Sumnja na kompromitaciju, promjena algoritma |
Najbolja praksa: Kod PQ migracije uvijek izvršiti Re-Key za prelazak s klasičnih na ML-DSA algoritme.
Automatizacija
| Okidač | Akcija | Vrijeme unaprijed |
|---|---|---|
| 30 dana prije isteka | Upozorenje e-mailom | - |
| 14 dana prije isteka | Pokretanje auto-obnove | - |
| 7 dana prije isteka | Eskalacija | - |
| Istek | Deaktivacija certifikata | - |
Brzi početak koda
Obnova
// Učitavanje postojećeg certifikata var oldCert = ctx.LoadCertificate("server.crt.pem"); var privateKey = ctx.LoadPrivateKey("server.key.pem", password); // Obnova: Novi certifikat s istim ključem var csr = ctx.CreateCertificateRequest(privateKey, oldCert.Subject); var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365); newCert.ToPemFile("server-renewed.crt.pem");
Re-Key
// Generiranje novog para ključeva (npr. migracija na ML-DSA) using var newKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65); // CSR s novim ključem, istim Subjectom var csr = ctx.CreateCertificateRequest(newKey, oldCert.Subject); var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365); // Sigurno uništavanje starog ključa oldKey.Dispose();
Povezane kategorije
| Kategorija | Odnos |
|---|---|
| 3. Izdavanje certifikata | Novi certifikat kod Re-Key |
| 6. Opoziv | Opoziv starog certifikata kod Re-Key |
| 11. Upravljanje ključevima | Rotacija ključeva |
« ← 3. Izdavanje certifikata | ↑ Scenariji | 5. Validacija → »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: 30.01.2026. u 07:25
