4. Gestire certificati
Scenari: 4
Funzioni FFI: ~30
Stato: Pianificato
Questa categoria comprende tutti gli scenari per la gestione del ciclo di vita dei certificati. Rinnovo, Re-Key, archiviazione e backup dei certificati.
Scenari
| ID | Scenario | Descrizione | Complessità | Stato |
|---|---|---|---|---|
| 4.1 | Rinnovare certificato (Renewal) | Prolungare certificato in scadenza | Media | Pianificato |
| 4.2 | Rinnovare chiave (Re-Key) | Nuova coppia chiavi, nuovo certificato | Media | Pianificato |
| 4.3 | Archiviare certificati | Conservare certificati scaduti in sicurezza | Bassa | Pianificato |
| 4.4 | Backup & Recovery | Salvare certificati e chiavi | Media | Pianificato |
Ciclo di vita
flowchart LR
subgraph ACTIVE["Attivo"]
NEW[Appena emesso]
INUSE[In uso]
end
subgraph RENEWAL["Rinnovo"]
RENEW[Renewal]
REKEY[Re-Key]
end
subgraph END["Fine"]
EXPIRE[Scaduto]
REVOKE[Revocato]
ARCHIVE[Archiviato]
end
NEW --> INUSE
INUSE --> RENEW --> INUSE
INUSE --> REKEY --> INUSE
INUSE --> EXPIRE --> ARCHIVE
INUSE --> REVOKE --> ARCHIVE
style INUSE fill:#e8f5e9
style REVOKE fill:#ffcdd2
Renewal vs Re-Key
| Operazione | Chiave | Serial | Caso d'uso |
|---|---|---|---|
| Renewal | Stessa | Nuova | Chiave ancora sicura, solo prolungare validità |
| Re-Key | Nuova | Nuova | Sospetto compromissione, cambio algoritmo |
Best Practice: Durante la migrazione PQ eseguire sempre Re-Key per passare da algoritmi classici a ML-DSA.
Automazione
| Trigger | Azione | Anticipo |
|---|---|---|
| 30 giorni prima della scadenza | Avviso via e-mail | - |
| 14 giorni prima della scadenza | Avviare auto-renewal | - |
| 7 giorni prima della scadenza | Escalation | - |
| Scadenza | Disattivare certificato | - |
Guida rapida al codice
Renewal
// Caricare certificato esistente var oldCert = ctx.LoadCertificate("server.crt.pem"); var privateKey = ctx.LoadPrivateKey("server.key.pem", password); // Renewal: nuovo certificato con stessa chiave var csr = ctx.CreateCertificateRequest(privateKey, oldCert.Subject); var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365); newCert.ToPemFile("server-renewed.crt.pem");
Re-Key
// Generare nuova coppia di chiavi (es. migrazione a ML-DSA) using var newKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65); // CSR con nuova chiave, stesso subject var csr = ctx.CreateCertificateRequest(newKey, oldCert.Subject); var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365); // Distruggere in sicurezza la vecchia chiave oldKey.Dispose();
Categorie correlate
| Categoria | Relazione |
|---|---|
| 3. Emettere certificati | Nuovo certificato con Re-Key |
| 6. Revoca | Revocare vecchio certificato con Re-Key |
| 11. Gestione chiavi | Rotazione chiavi |
« ← 3. Emettere certificati | ↑ Scenari | 5. Validazione → »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: il 30/01/2026 alle 07:10
