none
Миграция корпоративной PKI с SHA1 на SHA2 RRS feed

  • Вопрос

  • Имеется корпоративная PKI, состоящая из Offline RootCA и Online Issue SubCA, развернутая на WinServ2008r2. Разворачивалось довольно давно, поэтому держит только алгоритм SHA1. Всё это дело используется для выпуска сертификатов внутренних корпоративных сервисов - почта, портал, lync, VPN и т.д.

    Так как алгоритм SHA1 признан небезопасным, то все свежие сертификаты (срок действия заканчивается после 01.01.2017) помечаются как небезопасными в свежих версиях браузеров. Поэтому есть необходимость произвести апгрейд инфраструктуры чтобы было возможность выпускать новые сертификаты с SHA2. 

    На технете есть хорошие материалы на эту тему, но у меня всё же есть несколько вопросов к тем, кому уже приходилось сталкиваться с подобным.

    1. Я правильно понимаю, что при перевыпуске корневых сертификатов RootCA и SubCA, то все сертификаты, изданные ранее автоматически перестанут быть валидными?

    2. Есть ли какие-то другие сценарии перехода на SHA2, не затрагивая текущий RootCA? Например развертывание нового SubCA c SHA2. 

    Основное желание - сохранить валидность нынешних сертификатов, так как жутко не хочется разом перевыпускать и устанавливать юзерам кучу сертификатов для VPN, к примеру

    23 августа 2016 г. 11:52

Ответы

  • Добрый день.

    Что бы не перевыпускать все сертификаты разом, поднимайте вторую PKI в домене параллельно существующей. Это даст вам время для поэтапного перехода, со существующей PKI (проделывали такое, только времени было 1 год на эту операцию). По поводу варианта указанного в "хорошей статье", надо попробовать в тестовой среде (написано что до 2017 сертификаты будут валидны, а выписывать будет уже с SHA2).

    23 августа 2016 г. 14:23