Webサーバーにデジタル証明書を展開し、それを更新する必要がある場合、どのような手順に従う必要がありますか?新しい長い公開鍵秘密鍵ペアを生成する必要がありますか?そもそもなぜ証明書を更新する必要があるのですか?
必要な場合、またはキーが侵害されていない限り、新しいキーを生成する必要はありません(ただし、キーが侵害されていることがわかっている場合は、キーを交換してからずっと経っています)。
ほとんどのCAでは、有効期限を更新するだけで、同じ件名の証明書を再発行できます。
新しい(ただし、必ずしも長いとは限らない)キーペアの生成など、最初に証明書を購入する場合と同じ手順に従う必要があります。
証明書の有効期限は、認証会社が通常のビジネスを好むこともありますが、ほとんどの場合、エンドユーザーのWebブラウザーで侵害された証明書を取り消すための適切なプロセスがないため、証明書に有効期限があるということは、悪用されないことを意味します。侵害された場合は無期限に。
証明書には有効期限があるため、更新する必要があります。証明書の有効期限が切れると、クライアントはそれを使用することを拒否します(Webのコンテキストでは、ブラウザーはその状況で恐ろしい警告を表示します)。
したがって、問題は次のとおりです。証明書に有効期限があるのはなぜですか?理論的には、これは失効リストを小さく保つ方法です。 証明書失効リスト (CRL)は、特定のCAによって発行されたすべての証明書を指定します。これらの証明書は、「問題ないように見えますが、not」を使用する必要があります。 "。Revocationは、証明書を「キャンセル」する行為です。たとえば、秘密鍵が危険にさらされた(盗まれた)場合、正当な鍵の所有者はCAに通知し、CAは定期的に公開されるCRLに証明書を含めることで証明書を取り消しします- -クライアントが対応する証明書の受け入れを停止するようにします。構造上、CRLは成長することしかできないため(メシア以外の人のように、証明書は死んでから死んでいる)、トリックが設計されています:expired証明書を含める必要はありませんCRL内(証明書の有効期限が切れている場合、クライアントはそれを使用しません-証明書がalso取り消されたかどうかを知る必要はありません)。これにより、古いエントリが削除されるため、CRLサイズが抑制されます。
それが有効期限に関する理論です。練習に関しては、Peter Gutmannが彼の X.509スタイルガイド で次の代替説明を提供しています。
このフィールドは、証明書を再発行するためにCAに更新料を支払う必要がある時間を示します。
3番目の説明は、更新によりCAが物事を移行できることです。例えば。 CRLをダウンロードできるURLは、証明書自体に記載されています。証明書の有効期限が切れていない場合、そのURLは永遠である必要があります。ビジネスにとって永遠は長いものです。
どの説明を信じるかはあなた次第です。
更新操作の詳細については、実際にはCAに依存します。有効期限を除いて、CAが古い証明書と同じ新しい証明書を作成し、署名して送信することは、概念的に不可能ではありません。これはあなたの側で何の行動も必要としません。ただし、一部のCAは、(最初の証明書を取得したときのように)新しいキーペアの生成でさえ、あなたからより多くのものを求めます。 CAmightキーの長さに関する厳格なポリシーがある場合、より長いキーが必要ですand古いキーはありませんより長くそのポリシーに準拠します。理論的には、最小限のキー長を適用するのはCAの仕事ではありませんが(クライアントはインスタンスごとにその決定を行う必要があります)、実際にはCAdo必須キータイプと長さ。 CAは、特定の更新操作をわざわざ実装しなかった場合に備えて、新しいキー生成を必要とする場合もあります。
そもそもなぜ証明書を更新する必要があるのですか?
それは次の理由で起こります:
新しい長い公開鍵秘密鍵ペアを生成する必要がありますか?
いいえ。CAが何らかの理由でそれを求めない限り。
Webサーバーにデジタル証明書を展開し、それを更新する必要がある場合、どのような手順に従う必要がありますか?
それはすべてあなたのCAに依存しますが、一般的にあなたは自分で何もすることはありません。