4. Upravljanje certifikatov
Scenariji: 4
FFI funkcije: ~30
Status: Načrtovano
Ta kategorija zajema vse scenarije za upravljanje življenjskega cikla certifikatov. Obnova, ponovna izdaja ključa, arhiviranje in varnostno kopiranje certifikatov.
Scenariji
| ID | Scenarij | Opis | Kompleksnost | Status |
|---|---|---|---|---|
| 4.1 | Obnova certifikata (Renewal) | Podaljšanje iztekajočega certifikata | Srednja | Načrtovano |
| 4.2 | Ponovna izdaja ključa (Re-Key) | Nov par ključev, nov certifikat | Srednja | Načrtovano |
| 4.3 | Arhiviranje certifikatov | Varno shranjevanje izteklih certifikatov | Nizka | Načrtovano |
| 4.4 | Varnostna kopija in obnovitev | Varnostno kopiranje certifikatov in ključev | Srednja | Načrtovano |
Življenjski cikel
flowchart LR
subgraph ACTIVE["AKTIVNO"]
NEW[Novo izdano]
INUSE[V uporabi]
end
subgraph RENEWAL["OBNOVA"]
RENEW[Obnova]
REKEY[Ponovna izdaja]
end
subgraph END["KONEC"]
EXPIRE[Poteklo]
REVOKE[Preklicano]
ARCHIVE[Arhivirano]
end
NEW --> INUSE
INUSE --> RENEW --> INUSE
INUSE --> REKEY --> INUSE
INUSE --> EXPIRE --> ARCHIVE
INUSE --> REVOKE --> ARCHIVE
style INUSE fill:#e8f5e9
style REVOKE fill:#ffcdd2
Obnova proti ponovni izdaji ključa
| Operacija | Ključ | Serijska št. | Primer uporabe |
|---|---|---|---|
| Obnova | Isti | Nova | Ključ še varen, samo podaljšanje veljavnosti |
| Ponovna izdaja | Nov | Nova | Sum ogroženosti, zamenjava algoritma |
Najboljša praksa: Pri PQ migraciji vedno izvedite ponovno izdajo ključa za prehod s klasičnih na ML-DSA.
Avtomatizacija
| Sprožilec | Akcija | Predčasnost |
|---|---|---|
| 30 dni pred iztekom | Opozorilo po e-pošti | - |
| 14 dni pred iztekom | Zagon samodejne obnove | - |
| 7 dni pred iztekom | Eskalacija | - |
| Iztek | Deaktivacija certifikata | - |
Hiter začetek kode
Obnova
// Nalaganje obstoječega certifikata var oldCert = ctx.LoadCertificate("server.crt.pem"); var privateKey = ctx.LoadPrivateKey("server.key.pem", password); // Obnova: Nov certifikat z istim ključem var csr = ctx.CreateCertificateRequest(privateKey, oldCert.Subject); var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365); newCert.ToPemFile("server-renewed.crt.pem");
Ponovna izdaja ključa
// Generiranje novega para ključev (npr. migracija na ML-DSA) using var newKey = ctx.GenerateKeyPair(PqAlgorithm.MlDsa65); // CSR z novim ključem, istim Subject var csr = ctx.CreateCertificateRequest(newKey, oldCert.Subject); var newCert = ctx.IssueCertificate(csr, issuerCert, issuerKey, validDays: 365); // Varno uničenje starega ključa oldKey.Dispose();
Povezane kategorije
| Kategorija | Povezava |
|---|---|
| 3. Izdaja certifikatov | Nov certifikat ob ponovni izdaji |
| 6. Preklic | Preklic starega certifikata ob ponovni izdaji |
| 11. Upravljanje ključev | Rotacija ključev |
« ← 3. Izdaja certifikatov | ↑ Scenariji | 5. Validacija → »
Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional
Zuletzt geändert: dne 30.01.2026 ob 07:43
