1. casa
  2. Domanda e risposta
  3. Aggiornamento-Rinnovo certificato CA autofirmato in archivio di sicurezza java

Aggiornamento-Rinnovo certificato CA autofirmato in archivio di sicurezza java

2012-11-06 17 views
9

Ho creato un'app Java che espone i servizi Web a client autorizzati esterni. I servizi Web utilizzano la sicurezza WS con l'autenticazione del certificato. Fondamentalmente agiamo come Autorità di certificazione personalizzata: gestiamo un archivio di sicurezza java sul nostro server e firmiamo e aggiungiamo il certificato dei clienti. Attualmente abbiamo un processo di registrazione manuale che richiede ai client WS di caricare la richiesta di firma del certificato. Firmiamo il CSR, aggiungiamo il certificato al nostro truststore java utilizzando keytool dalla riga di comando e restituiamo il certificato firmato insieme al nostro certificato CA al client. A loro volta, i client utilizzano la propria chiave privata per firmare il payload del messaggio soap e incorporare il certificato firmato nel messaggio. Il lato server decrittografa la firma digitale e verifica che il certificato incorporato sia firmato e che corrisponda al nostro truststore prima di soddisfare la richiesta del cliente.Aggiornamento-Rinnovo certificato CA autofirmato in archivio di sicurezza java

Sebbene poco doloroso (a causa del lavoro manuale), questa configurazione funziona correttamente. Ora ho capito che il nostro certificato CA radice sta per scadere presto e quindi sto cercando di impostare la politica di manutenzione. come dovrei fare per rinnovare il certificato di CA radice autofirmato? Sembra che dovrò creare nuovo e sostituire l'originale. E questo avrà un impatto su tutti i clienti che devono ricevere un nuovo certificato e importare un nuovo certificato CA. È corretta comprensione o se c'è un modo migliore per gestire la situazione?

Se è importante, ho usato openssl per generare una coppia di chiavi originale.

openssl req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem -config openssl.cnf

fonte

2012-11-06 jay

+0

Bella domanda !! Avrei finito per fare la stessa cosa, crearne uno nuovo ma questa volta con più giorni. È possibile configurarlo nel file openssl.cnf. – Arham

+0

Sicuramente questa volta mi assicurerò un periodo di scadenza più lungo. Grazie. – jay

risposta

2

Mantenendo la stessa chiave privata sul CA principale consente di tutti i certificati di continuare a validare con successo contro la nuova radice; tutto ciò che ti è richiesto è affidarti alla nuova radice.

More info

fonte

2012-11-07 08:04:50

+0

fantastico! Grazie per aver indicato le informazioni! – jay

Problemi correlati

 Problemi correlati