Kann ich ändern, einen privaten Schlüssel Gültigkeit?

Ich bin ein Neuling in der computer-Sicherheit, und ich habe eine grundlegende Frage, deren Antwort ich habe nicht in der Lage gewesen, um es herauszufinden.

Ich habe einen privaten Schlüssel, deren Gültigkeitsdauer abgelaufen ist. Mit diesem Schlüssel würde ich vorher generiert .csr und schickte es an eine ZERTIFIZIERUNGSSTELLE, und Sie würde mir ein Zertifikat noch gültig ist.

Meine Frage ist, kann ich (mithilfe von keytool, oder was auch immer...) ändern Sie den privaten Schlüssel ein Verfallsdatum, um es zu benutzen mit meinem Zertifikat (.cer). Könnte ich neu generieren eines privaten Schlüssels zu diesem Zertifikat?

Danke,

  • Private Schlüssel (oder public keys für diese Angelegenheit) nicht ablaufen, Zertifikate tun.
  • "Kann ich regenerieren eines privaten Schlüssels zu diesem Zertifikat" - Sie können, aber Sie sollten nicht. In den alten Tagen, key-management und key-rotation praktiziert wurde wie eine religion (ist es immer noch). Aber was wir gefunden haben, in der Praxis ist es besser, Ehre Schlüssel Kontinuität und re-Zertifizierung oder re-verwenden Sie den gleichen Schlüssel (sans eine key compromise). Dann, Systeme mit defense-in-depth Sicherheit und Diversifizierung Techniken können Dinge tun, wie Trust-On-First-Use - (TOFU) und festhalten. Wenn sich der Schlüssel ändert sich regelmäßig, dann bricht es TOFU und festhalten. Ein MitM sollte die Alarmglocken, wenn sich der Schlüssel ändert sich unerwartet.
  • Diese Frage scheint off-topic, weil es nicht im Zusammenhang mit der Programmplanung. Fragen, auf security.stackexchange.com
InformationsquelleAutor user1031431 | 2014-07-29
  1. 6

    keytool -genkeypair nicht mehr als ein Schlüsselpaar zu generieren: es generiert ein paar aus öffentlichem und privatem Schlüssel, und schließt den öffentlichen Schlüssel in ein selbst signiertes X. 509-Zertifikat generiert auf der Stelle mit den verschiedenen Optionen gegeben (-dname, -validity, ...). Es bringt Sie zusammen in den alias, den Sie wählen (eine private-key-Eintrag zugeordnet werden ein privater Schlüssel und ein Zertifikat oder eine Zertifikat-Kette der Länge 1, um genau zu sein).

    Diese Optionen wirken sich auf das selbst-signierte X. 509-Zertifikat, nicht das Schlüsselpaar selbst.

    In der Regel, wenn Sie nicht möchten, verwenden Sie ein selbst signiertes Zertifikat, erzeugen Sie einen CSR, basierend auf diesen öffentlichen Schlüssel und die Eigenschaften dieses selbst-signierte X. 509-Zertifikat (der Struktur eines CSR-ist in der Tat sehr ähnlich zu einem selbst-signierten Zertifikat, aber es nicht die Emittentin oder die Gültigkeit der Daten). CSR ist dann Ihr CA für die Ausstellung eine X. 509-Zertifikat (in dieser Zeit, von Ihr signiert, CA).

    Sie gemeint sind, importieren Sie Sie wieder in das alias nutzen zu können, wird das Zertifikat mit seinem privaten Schlüssel. Wenn Ihr selbstsigniertes Zertifikat (oder eine ältere Bescheinigung dazu passenden private key) abgelaufen ist, re-importieren Sie das Zertifikat noch gültig ist.

    In der Tat, wenn es Zwischenzertifikate, sollten Sie nicht nur importieren Sie das Zertifikat, aber die Zertifikats-Kette (siehe diese Frage und diese Frage).

    Wenn Ihr .cer Datei im DER-format (Binär) und nicht-PEM-format (base64-Codierung der-format), können Sie wandeln es in PEM mit openssl x509 -inform DER -in mycert.cer -outform PEM -out mycert.crt und verwenden Sie das Ergebnis zum bilden der Kette und importieren Sie es.

    • keytool -import -v -alias privateKeyAlias -keystore theKeyStore.jks -file abc123456def.crt -trustcacerts nicht zu vergessen die "trustcacerts" param ersetzen Sie den öffentlichen Schlüssel mit dem signiert man die CA gesendet Ihnen !
    InformationsquelleAutor Bruno
  2. 5

    Nicht.

    Der Gültigkeitszeitraum wird im Zertifikat, nicht den privaten Schlüssel. Zertifikate können nicht geändert werden, und nur Unternehmen, die erzeugen kann, die gültige Zertifikate der Zertifizierungsstellen.

    Werden Sie zu zahlen haben für ein neues Zertifikat. Zertifikat abläuft, ist eine Sicherheitsmaßnahme, sondern auch ein Weg, um wiederkehrende Kunden.

    • Danke für deine Antwort. Tatsächlich ist die .cer ist gültig bis 2015, aber ich bin nicht in der Lage, es zu benutzen, weil der key-pair-Mädchen Gültigkeitsdatum (keytool ist von der Gültigkeit der parameter beim erzeugen des Schlüsselpaares) abgelaufen ist. Irgendeine Idee?
    • "Zertifikat abläuft, ist eine Sicherheitsmaßnahme..." - Google und ein paar andere drehen Ihre Zertifikate, die alle 30 Tage oder so, aber re-zertifiziert die gleichen öffentlichen Schlüssel. Sie tun so, um sich die CRLs kleine für mobile clients. Ich glaube nicht, dass es irgendwelche Gründen der Sicherheit (modulo-Schlüssel (Kontinuität). Das ist, warum CertPatrol kann nicht mit Websites wie Gmail ohne störende Nebengeräusche.
    • "Sie haben zu zahlen für ein neues Zertifikat..." - StartCom und CACert bieten Kostenlose Zertifikate von vertrauenswürdigen von den meisten mobilen und desktop-Browsern. Sie werden Klasse 1-Zertifikate (domain validation, keine Platzhalter). Berechnen Sie für den Widerruf, wenn nötig. Sie kostenlos für Zertifikate der Klasse 2 oder höher.
    InformationsquelleAutor ntoskrnl
Schreibe einen Kommentar