Sdílet prostřednictvím

Obnovení kořenového certifikátu certifikační autority

Kořenová certifikační autorita je vrcholem infrastruktury veřejných klíčů (PKI) a vydává vlastní certifikát podepsaný svým držitelem. Obnovení kořenového certifikátu certifikační autority je důležitou úlohou, která zajistí trvalou důvěryhodnost a zabezpečení infrastruktury veřejných klíčů. V tomto článku se dozvíte, jak obnovit kořenový certifikát certifikační autority (CA) pomocí nového nebo existujícího páru klíčů. Informace jsou platné pro certifikační autoritu organizace i samostatnou certifikační autoritu.

Požadavky

Než začnete, ověřte, že splňujete následující požadavky:

  • Přístup pro správu k serveru kořenové certifikační autority.
  • Zálohování databáze certifikační autority a privátního klíče
  • Znalost hierarchie infrastruktury veřejných klíčů a zásad certifikátů ve vaší organizaci

Přehled obnovení certifikátu kořenové certifikační autority

Pokud nastane čas obnovení kořenového certifikátu certifikační autority, použijete buď existující pár veřejného a privátního klíče, nebo vygenerujete nový pár veřejného a privátního klíče. Obnovení s existujícím párem je nejjednodušší a nejpřímější přístup. Může však být nutné obnovit certifikát certifikační autority pomocí nového páru klíčů, pokud:

  • Podepisování certifikační autority (existující pár klíčů certifikační autority) je ohroženo.
  • Máte program, který vyžaduje použití nového podpisového klíče s novým certifikátem certifikační autority.
  • Aktuální seznam odvolaných certifikátů (CRL) je příliš velký a chcete některé informace přesunout do nového seznamu CRL.

Následující dvě části obsahují přehled toho, co se v certifikátu stane, když se obnoví pomocí nového nebo existujícího páru klíčů.

Obnovení kořenového certifikátu certifikační autority pomocí existujícího páru klíčů

Když prodloužíte certifikát certifikační autority s existujícím párem klíčů, nový certifikát obsahuje stejný veřejný a privátní klíč. V důsledku toho se všechny dříve vydané certifikáty zřetězí s novým certifikátem certifikační autority. Klienti řetězí dříve a nově vydané certifikáty až do nového certifikátu certifikační autority. Důvodem je to, že všechny tyto klientské certifikáty jsou podepsané stejným podpisem certifikační autority a oba certifikáty certifikační autority vytvoří stejný podpis pro stejná data.

Následuje souhrn podrobností, které si poznamenejte o novém kořenovém certifikátu certifikační autority:

  • Nový certifikát certifikační autority nenahrazuje předchozí certifikát certifikační autority. Místo toho se přidá nový soubor a index certifikátu se připojí k názvu souboru v závorkách. Starý certifikát má například název: RootCA.crta nový certifikát má název: RootCA(1).crt.

  • Nový certifikát certifikační autority má stejnou platnou hodnotu od jako starý certifikát. Pokud je například starý certifikát certifikační autority platný od 10. 8. 2020 do 10. 8. 2025, je nový certifikát platný od 10. 8. 2020 do 10. 8. 2030. Prodloužení zvyšuje platnost aktuálního certifikátu certifikační autority.

  • Hodnota hash nového certifikátu certifikační autority obsahuje hodnotu kryptografického otisku předchozího certifikátu.

  • Nový certifikát certifikační autority změní verzi certifikační autority . Rozšíření verze CA pomáhá sestavit správné řetězy, pokud má CA více než jeden certifikát. Toto rozšíření se skládá ze dvou hodnot: indexu certifikátu certifikační autoritya indexu klíče certifikační autority. Tyto hodnoty jsou oddělené tečkou, například: 0.0, 2.1 a 3.3. Pokaždé, když prodloužíte certifikát certifikační autority, index certifikátu certifikační autority se zvýší o 1. Vzhledem k tomu, že pár klíčů zůstává stejný, hodnota indexu klíče certifikační autority se nezvyšuje.

  • Nová certifikační autorita udržuje stejný CRL.

Obnovení kořenového certifikátu certifikační autority pomocí nového páru klíčů

Obnovení pomocí nového páru klíčů je složitější a zahrnuje mnoho změn v certifikátu certifikační autority. Nový veřejný klíč vytvoří jiný identifikátor klíče subjektu, což je hashová hodnota veřejného klíče. Když certifikační autorita vydá nový certifikát, poskytne certifikát identifikátoru klíče subjektu hodnotu vydaného certifikátu rozšíření identifikátoru klíče autority. Porovnání rozšíření používá modul řetězení certifikátů (CCE). V důsledku toho se dříve vydané certifikáty zřetězí až k předchozímu certifikátu certifikační autority a nově vydané certifikáty se zřetězí s novým certifikátem certifikační autority.

Následuje souhrn podrobností, které si poznamenejte o novém kořenovém certifikátu certifikační autority:

  • Vygeneruje se nový CRL. Nový CRL obsahuje pouze odvolané certifikáty podepsané pomocí obnoveného certifikátu CA nebo podpisového klíče a nový soubor CRL obsahuje příponu CRL. Starý CRL má například název RootCA.crla nový CRL má název: RootCA(1).crl. Tuto příponu seznamu CRL udržuje proměnné CRLNameSuffix v nastavení umístění CDP a číslo se vždy rovná hodnotě rozšíření verze certifikační autority.

  • Na rozdíl od hodnoty indexu certifikátů certifikační autority se index klíče certifikační autority vždy nezvyšuje o 1, ale je nastavený na hodnotu indexu certifikátu certifikační autority. Například předchozí certifikát certifikační autority má verzi rozšíření 2.0, zatímco nový certifikát má verzi rozšíření s hodnotou 3.3.

  • Když použijete nový kořenový certifikát certifikační autority, ale ještě není nasazený pro všechny klienty, certifikační autorita vygeneruje dva křížové certifikáty. První křížový certifikát je podepsaný předchozím podpisovým klíčem certifikační autority a certifikuje nový certifikát certifikační autority. CCE vytváří cesty certifikace pro dříve i nově vydané certifikáty, takže obě cesty se zřetězí pouze s předchozím certifikátem certifikační autority, protože nový certifikát certifikační autority ještě není nasazený. Pro propojení obou cest k novému certifikátu CA se vygeneruje druhý mezilehlý certifikát. Nový certifikát certifikační autority certifikuje předchozí certifikát certifikační autority v opačném směru. Pomocí křížových certifikátů udržujete pouze jeden kořenový certifikát certifikační autority s možností vytvářet správné řetězy pro všechny certifikáty vydané touto certifikační autoritou.

Jakmile nasadíte nový certifikát certifikační autority do klientů, je nutné ho publikovat do kontejneru důvěryhodných kořenových certifikačních autorit na klientském počítači a teprve potom můžete předchozí certifikát certifikační autority odebrat z klientů. I když se nedoporučuje odebírat staré certifikáty certifikační autority, protože je možné je použít při ověřování digitálního podpisu souboru.

Obnovení kořenového certifikátu certifikační autority

Tato část popisuje postup obnovení kořenového certifikátu certifikační autority.

Krok 1: Zálohujte kořenovou certifikační autoritu

Začněte tím, že vytvoříte úplnou zálohu kořenové certifikační autority, včetně databáze certifikační autority a privátních klíčů. To je zásadní v případě, že se něco nepovede, a potřebujete vrátit zpět změny.

  1. Ve Správci serveru vyberte Nástrojea pak Certifikační autoritu.
  2. Klikněte pravým tlačítkem myši na název CA, vyberte Všechny úkolya pak Zálohovat CA....
  3. Postupujte podle průvodce a zálohujte databázi certifikační autority a privátní klíč.

Krok 2: Obnovení kořenového certifikátu certifikační autority

  1. Ve Správci serveru vyberte Nástrojea pak Certifikační autoritu.
  2. Klikněte pravým tlačítkem myši na název certifikační autority, vyberte Všechny úkolya potom Obnovit certifikát certifikační autority.... snímek obrazovky s možností obnovení certifikátu certifikační autority
  3. Otevře se dialogové okno s dotazem, jestli chcete zastavit službu Active Directory Certificate Services. Vyberte Ano. snímek obrazovky s dialogovým oknem s výzvou k zastavení služby Active Directory Certificate Services
  4. Zvolte, jestli chcete vygenerovat nový pár klíčů, nebo použít existující dvojici klíčů.
    1. Pokud chcete vygenerovat nový pár klíčů, vyberte Ano.
    2. Pokud chcete použít existující dvojici klíčů, vyberte Bez. snímek obrazovky s dialogovým oknem s dotazem, jestli chcete vygenerovat novou dvojici klíčů nebo použít existující pár klíčů.
  5. Zobrazte vlastnosti kořenové certifikační autority a pak zobrazte podrobnosti o novém certifikátu, abyste potvrdili, že se úspěšně vytvořil.
    snímek obrazovky okna vlastností kořenové certifikační autority.

Krok 3: Distribuce nového kořenového certifikátu certifikační autority

Po obnovení certifikátu kořenové certifikační autority jej musíte nasadit na klienty, aby důvěřovali všem certifikátům vydaným certifikační autoritou. Tento proces se liší v závislosti na tom, jestli používáte certifikační autoritu organizace nebo samostatnou certifikační autoritu.

Podniková certifikační autorita

Pokud používáte podnikovou certifikační autoritu, kořenový certifikát se automaticky distribuuje v rámci domény. Klienti ho obdrží během aktualizace zásad skupiny. Pokud chcete tento proces urychlit, můžete vynutit aktualizaci pomocí příkazového řádku: gpupdate /force.

Samostatná certifikační autorita

U samostatné certifikační autority musíte certifikát exportovat a publikovat ho do všech důvěryhodných klientů. Postupujte podle pokynů k distribuci kořenového certifikátu pomocí zásad skupiny. Může být nutné ručně distribuovat nový certifikát do zařízení, která nejsou připojená k doméně.

Úkoly po obnovení

Po provedení změn monitorujte vaše prostředí a sledujte případné problémy související s ověřováním nebo vztahem důvěryhodnosti certifikátu. Připravte se na řešení potíží a okamžitě vyřešte problémy.

  • Ověřte, že je nový certifikát kořenové certifikační autority důvěryhodný pro všechny klienty.
  • Monitorujte certifikační autoritu a sledujte případné problémy související s procesem obnovení.

Související obsah