Kann ich ändern, einen privaten Schlüssel Gültigkeit?
Ich bin ein Neuling in der computer-Sicherheit, und ich habe eine grundlegende Frage, deren Antwort ich habe nicht in der Lage gewesen, um es herauszufinden.
Ich habe einen privaten Schlüssel, deren Gültigkeitsdauer abgelaufen ist. Mit diesem Schlüssel würde ich vorher generiert .csr und schickte es an eine ZERTIFIZIERUNGSSTELLE, und Sie würde mir ein Zertifikat noch gültig ist.
Meine Frage ist, kann ich (mithilfe von keytool, oder was auch immer...) ändern Sie den privaten Schlüssel ein Verfallsdatum, um es zu benutzen mit meinem Zertifikat (.cer). Könnte ich neu generieren eines privaten Schlüssels zu diesem Zertifikat?
Danke,
- Private Schlüssel (oder public keys für diese Angelegenheit) nicht ablaufen, Zertifikate tun.
- "Kann ich regenerieren eines privaten Schlüssels zu diesem Zertifikat" - Sie können, aber Sie sollten nicht. In den alten Tagen, key-management und key-rotation praktiziert wurde wie eine religion (ist es immer noch). Aber was wir gefunden haben, in der Praxis ist es besser, Ehre Schlüssel Kontinuität und re-Zertifizierung oder re-verwenden Sie den gleichen Schlüssel (sans eine key compromise). Dann, Systeme mit defense-in-depth Sicherheit und Diversifizierung Techniken können Dinge tun, wie Trust-On-First-Use - (TOFU) und festhalten. Wenn sich der Schlüssel ändert sich regelmäßig, dann bricht es TOFU und festhalten. Ein MitM sollte die Alarmglocken, wenn sich der Schlüssel ändert sich unerwartet.
- Diese Frage scheint off-topic, weil es nicht im Zusammenhang mit der Programmplanung. Fragen, auf security.stackexchange.com
Du musst angemeldet sein, um einen Kommentar abzugeben.
keytool -genkeypair
nicht mehr als ein Schlüsselpaar zu generieren: es generiert ein paar aus öffentlichem und privatem Schlüssel, und schließt den öffentlichen Schlüssel in ein selbst signiertes X. 509-Zertifikat generiert auf der Stelle mit den verschiedenen Optionen gegeben (-dname
,-validity
, ...). Es bringt Sie zusammen in den alias, den Sie wählen (eine private-key-Eintrag zugeordnet werden ein privater Schlüssel und ein Zertifikat oder eine Zertifikat-Kette der Länge 1, um genau zu sein).Diese Optionen wirken sich auf das selbst-signierte X. 509-Zertifikat, nicht das Schlüsselpaar selbst.
In der Regel, wenn Sie nicht möchten, verwenden Sie ein selbst signiertes Zertifikat, erzeugen Sie einen CSR, basierend auf diesen öffentlichen Schlüssel und die Eigenschaften dieses selbst-signierte X. 509-Zertifikat (der Struktur eines CSR-ist in der Tat sehr ähnlich zu einem selbst-signierten Zertifikat, aber es nicht die Emittentin oder die Gültigkeit der Daten). CSR ist dann Ihr CA für die Ausstellung eine X. 509-Zertifikat (in dieser Zeit, von Ihr signiert, CA).
Sie gemeint sind, importieren Sie Sie wieder in das alias nutzen zu können, wird das Zertifikat mit seinem privaten Schlüssel. Wenn Ihr selbstsigniertes Zertifikat (oder eine ältere Bescheinigung dazu passenden private key) abgelaufen ist, re-importieren Sie das Zertifikat noch gültig ist.
In der Tat, wenn es Zwischenzertifikate, sollten Sie nicht nur importieren Sie das Zertifikat, aber die Zertifikats-Kette (siehe diese Frage und diese Frage).
Wenn Ihr
.cer
Datei im DER-format (Binär) und nicht-PEM-format (base64-Codierung der-format), können Sie wandeln es in PEM mitopenssl x509 -inform DER -in mycert.cer -outform PEM -out mycert.crt
und verwenden Sie das Ergebnis zum bilden der Kette und importieren Sie es.keytool -import -v -alias privateKeyAlias -keystore theKeyStore.jks -file abc123456def.crt -trustcacerts
nicht zu vergessen die "trustcacerts" param ersetzen Sie den öffentlichen Schlüssel mit dem signiert man die CA gesendet Ihnen !Nicht.
Der Gültigkeitszeitraum wird im Zertifikat, nicht den privaten Schlüssel. Zertifikate können nicht geändert werden, und nur Unternehmen, die erzeugen kann, die gültige Zertifikate der Zertifizierungsstellen.
Werden Sie zu zahlen haben für ein neues Zertifikat. Zertifikat abläuft, ist eine Sicherheitsmaßnahme, sondern auch ein Weg, um wiederkehrende Kunden.