শংসাপত্র কর্তৃপক্ষের রুট শংসাপত্রের মেয়াদ শেষ এবং পুনর্নবীকরণ

2004 এ, আমি লিনাক্সে ওপেনএসএসএল এবং ওপেনভিপিএন সরবরাহ করা সহজ ব্যবস্থাপনা স্ক্রিপ্টগুলি ব্যবহার করে একটি ছোট শংসাপত্র কর্তৃপক্ষ স্থাপন করেছি। আমি যে সময় খুঁজে পেয়েছি সেই অনুসারে আমি মূল সিটি শংসাপত্রের মেয়াদ 10 বছর করে দিয়েছি। তার পর থেকে, আমি ওপেনভিপিএন টানেল, ওয়েব সাইট এবং ই-মেইল সার্ভারের জন্য অনেক শংসাপত্র স্বাক্ষর করেছি, যার সবগুলির মেয়াদও 10 বছর (এটি ভুল হতে পারে, তবে আমি আরও ভাল জানি না)।

সিএ স্থাপনের বিষয়ে আমি অনেক গাইড পেয়েছি, তবে এর পরিচালনা সম্পর্কে খুব কম তথ্য এবং বিশেষত, মূল সিটি সার্টিফিকেটের মেয়াদ শেষ হওয়ার পরে কী করা উচিত, যা ২০১৪ সালে কিছু সময়ের মধ্যে ঘটবে So তাই আমার নিম্নলিখিতটি রয়েছে প্রশ্ন:

• মূল সিটি শংসাপত্রের মেয়াদ শেষ হওয়ার পরে যে শংসাপত্রগুলির মেয়াদ বাড়ানো হবে তা কি পরবর্তীকালের শেষ হওয়ার সাথে সাথেই অকার্যকর হয়ে যাবে, বা সেগুলি বৈধ হতে থাকবে (কারণ তারা সিএ শংসাপত্রের বৈধতার সময় স্বাক্ষরিত হয়েছিল)?
• রুট সিএ শংসাপত্র পুনর্নবীকরণ এবং এর মেয়াদ শেষ হওয়ার সাথে সাথে একটি মসৃণ রূপান্তর নিশ্চিত করতে কোন অপারেশনগুলির প্রয়োজন?
  • আমি কি কোনও উপায়ে বর্তমানের মূল সিএ শংসাপত্রটিকে আলাদা বৈধতার মেয়াদ সহ পুনরায় স্বাক্ষর করতে পারি এবং ক্লায়েন্টগুলিতে নতুন স্বাক্ষরিত শংসাপত্র আপলোড করতে পারি যাতে ক্লায়েন্টের শংসাপত্রগুলি বৈধ থাকে?
  • বা আমার কি নতুন ক্লাবের শংসাপত্রগুলি নতুন রুটের সিএ শংসাপত্র দ্বারা স্বাক্ষরিত নতুনগুলির সাথে প্রতিস্থাপন করা দরকার?
• রুট সিএ শংসাপত্রটি কখন নবায়ন করা উচিত? সমাপ্তির কাছাকাছি, বা মেয়াদ শেষ হওয়ার আগে যুক্তিসঙ্গত সময়?
• রুট সিএ শংসাপত্রের পুনর্নবীকরণ যদি কাজের একটি বড় অংশ হয়ে যায় তবে পরবর্তী পুনর্নবীকরণে (অবশ্যই মেয়াদটি 100 বছরে নির্ধারণের সংক্ষিপ্ততা) কোনও মসৃণ রূপান্তর নিশ্চিত করার জন্য আমি এখন আর কী করতে পারি?

পরিস্থিতিটি আরও জটিল করে তুলেছে যে কয়েকটি ক্লায়েন্টের কাছে আমার একমাত্র অ্যাক্সেসটি একটি ওপেনভিপিএন টানেলের মাধ্যমে যা বর্তমান সিএ শংসাপত্র দ্বারা স্বাক্ষরিত একটি শংসাপত্র ব্যবহার করে, তাই যদি আমাকে সমস্ত ক্লায়েন্ট শংসাপত্রগুলি প্রতিস্থাপন করতে হয় তবে আমার অনুলিপি করতে হবে ক্লায়েন্টের কাছে নতুন ফাইলগুলি, টানেলটি পুনরায় চালু করুন, আমার আঙ্গুলগুলি অতিক্রম করুন এবং আশা করুন যে এটি পরে এসেছিল।

আপনার রুট সিএতে একই প্রাইভেট কীটি রাখা সমস্ত শংসাপত্রগুলিকে নতুন রুটের বিপরীতে সাফল্যের সাথে বৈধতা অব্যাহত রাখতে দেয়; আপনার যা যা প্রয়োজন তা হ'ল নতুন মূলকে বিশ্বাস করা।

শংসাপত্র স্বাক্ষরকারী সম্পর্কটি ব্যক্তিগত কী থেকে স্বাক্ষরের উপর ভিত্তি করে; নতুন বৈধতার সময়কালে এবং প্রয়োজনীয়তার সাথে পরিবর্তিত অন্য যে কোনও নতুন বৈশিষ্ট্য সহ একটি নতুন পাবলিক শংসাপত্র তৈরি করার সময় একই প্রাইভেট কী (এবং, স্পষ্টতই, একই পাবলিক কী) রেখে রাখা আস্থার সম্পর্কটিকে রাখে। সিআরএলগুলিও, প্রাইভেট কী দ্বারা স্বাক্ষরিত শংসাপত্রের মতো পুরানো শংসাপত্র থেকে নতুন পর্যন্ত চালিয়ে যেতে পারে।

সুতরাং, আসুন যাচাই করা যাক!

একটি মূল সিএ করুন:

openssl req -new -x509 -keyout root.key -out origroot.pem -days 3650 -nodes

এটি থেকে একটি শিশু শংসাপত্র তৈরি করুন:

openssl genrsa -out cert.key 1024
openssl req -new -key cert.key -out cert.csr

সন্তানের প্রত্যয়টিতে স্বাক্ষর করুন:

openssl x509 -req -in cert.csr -CA origroot.pem -CAkey root.key -create_serial -out cert.pem
rm cert.csr

সমস্ত সেট আছে, সাধারণ শংসাপত্র সম্পর্ক। আসুন বিশ্বাস যাচাই করুন:

# openssl verify -CAfile origroot.pem -verbose cert.pem
cert.pem: OK

ঠিক আছে, তাই এখন বলা যাক 10 বছর কেটে গেছে। আসুন একই মূলের ব্যক্তিগত কী থেকে একটি নতুন পাবলিক শংসাপত্র তৈরি করা যাক।

openssl req -new -key root.key -out newcsr.csr
openssl x509 -req -days 3650 -in newcsr.csr -signkey root.key -out newroot.pem
rm newcsr.csr

এবং .. এটা কাজ করে?

# openssl verify -CAfile newroot.pem -verbose cert.pem
cert.pem: OK

কিন্তু কেন? তারা বিভিন্ন ফাইল, তাই না?

# sha1sum newroot.pem
62577e00309e5eacf210d0538cd79c3cdc834020  newroot.pem
# sha1sum origroot.pem
c1d65a6cdfa6fc0e0a800be5edd3ab3b603e1899  origroot.pem

হ্যাঁ, তবে, এর অর্থ এই নয় যে নতুন সার্বজনিক কী ক্রিপ্টোগ্রাফিকভাবে শংসাপত্রের স্বাক্ষরের সাথে মেলে না। বিভিন্ন সিরিয়াল নম্বর, একই মডুলাস:

# openssl x509 -noout -text -in origroot.pem
        Serial Number:
            c0:67:16:c0:8a:6b:59:1d
...
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:bd:56:b5:26:06:c1:f6:4c:f4:7c:14:2c:0d:dd:
                    3c:eb:8f:0a:c0:9d:d8:b4:8c:b5:d9:c7:87:4e:25:
                    8f:7c:92:4d:8f:b3:cc:e9:56:8d:db:f7:fd:d3:57:
                    1f:17:13:25:e7:3f:79:68:9f:b5:20:c9:ef:2f:3d:
                    4b:8d:23:fe:52:98:15:53:3a:91:e1:14:05:a7:7a:
                    9b:20:a9:b2:98:6e:67:36:04:dd:a6:cb:6c:3e:23:
                    6b:73:5b:f1:dd:9e:70:2b:f7:6e:bd:dc:d1:39:98:
                    1f:84:2a:ca:6c:ad:99:8a:fa:05:41:68:f8:e4:10:
                    d7:a3:66:0a:45:bd:0e:cd:9d
# openssl x509 -noout -text -in newroot.pem
        Serial Number:
            9a:a4:7b:e9:2b:0e:2c:32
...
            RSA Public Key: (1024 bit)
                Modulus (1024 bit):
                    00:bd:56:b5:26:06:c1:f6:4c:f4:7c:14:2c:0d:dd:
                    3c:eb:8f:0a:c0:9d:d8:b4:8c:b5:d9:c7:87:4e:25:
                    8f:7c:92:4d:8f:b3:cc:e9:56:8d:db:f7:fd:d3:57:
                    1f:17:13:25:e7:3f:79:68:9f:b5:20:c9:ef:2f:3d:
                    4b:8d:23:fe:52:98:15:53:3a:91:e1:14:05:a7:7a:
                    9b:20:a9:b2:98:6e:67:36:04:dd:a6:cb:6c:3e:23:
                    6b:73:5b:f1:dd:9e:70:2b:f7:6e:bd:dc:d1:39:98:
                    1f:84:2a:ca:6c:ad:99:8a:fa:05:41:68:f8:e4:10:
                    d7:a3:66:0a:45:bd:0e:cd:9d

আসল বিশ্ব শংসাপত্র বৈধতাতে এটি কাজ করছে তা যাচাই করতে আরও কিছুটা এগিয়ে চলুন।

একটি অ্যাপাচে উদাহরণস্বরূপ আগুন জ্বলুন, এবং আসুন এটি দেওয়া (ডিবিয়ান ফাইল কাঠামো, প্রয়োজন অনুযায়ী সামঞ্জস্য করুন):

# cp cert.pem /etc/ssl/certs/
# cp origroot.pem /etc/ssl/certs/
# cp newroot.pem /etc/ssl/certs/
# cp cert.key /etc/ssl/private/

আমরা VirtualHost443-এ শ্রবণ করার জন্য এই নির্দেশাবলী সেট করব - মনে রাখবেন যে উত্পন্ন এবং স্বাক্ষরিত হওয়ার newroot.pemসময়ও মূল শংসাপত্রটি উপস্থিত cert.pemছিল না ।

SSLEngine on
SSLCertificateFile /etc/ssl/certs/cert.pem
SSLCertificateKeyFile /etc/ssl/private/cert.key
SSLCertificateChainFile /etc/ssl/certs/newroot.pem

আসুন ওপেনসেল এটি কীভাবে দেখে তা পরীক্ষা করে দেখুন:

# openssl s_client -showcerts -CAfile newroot.pem -connect localhost:443

Certificate chain
 0 s:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=server.lan
   i:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
 1 s:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
   i:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
-----BEGIN CERTIFICATE-----
MIICHzCCAYgCCQCapHvpKw4sMjANBgkqhkiG9w0BAQUFADBUMQswCQYDVQQGEwJB
...
-----END CERTIFICATE-----
(this should match the actual contents of newroot.pem)
...
Verify return code: 0 (ok)

ঠিক আছে, এবং এমএস এর ক্রিপ্টো এপিআই ব্যবহার করে একটি ব্রাউজার সম্পর্কে কীভাবে? প্রথমে মূলকে বিশ্বাস করতে হবে, তারপরে নতুন রুটের ক্রমিক সংখ্যা সহ এটি বেশ ভাল:

এবং, আমাদের এখনও পুরানো মূলের সাথে কাজ করা উচিত। চারপাশে অ্যাপাচের কনফিগারেশনটি স্যুইচ করুন:

SSLEngine on
SSLCertificateFile /etc/ssl/certs/cert.pem
SSLCertificateKeyFile /etc/ssl/private/cert.key
SSLCertificateChainFile /etc/ssl/certs/origroot.pem

অ্যাপাচে সম্পূর্ণ পুনঃসূচনা করুন, একটি পুনরায় লোড শংসাপত্রগুলি সঠিকভাবে স্যুইচ করবে না।

# openssl s_client -showcerts -CAfile origroot.pem -connect localhost:443

Certificate chain
 0 s:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=server.lan
   i:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
 1 s:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
   i:/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=root
-----BEGIN CERTIFICATE-----
MIIC3jCCAkegAwIBAgIJAMBnFsCKa1kdMA0GCSqGSIb3DQEBBQUAMFQxCzAJBgNV
...
-----END CERTIFICATE-----
(this should match the actual contents of origroot.pem)
...
Verify return code: 0 (ok)

এবং, এমএস ক্রিপ্টো এপিআই ব্রাউজারের সাহায্যে অ্যাপাচি পুরানো রুট উপস্থাপন করছে, তবে নতুন রুট এখনও কম্পিউটারের বিশ্বাসযোগ্য রুট স্টোরে রয়েছে। এটি স্বয়ংক্রিয়ভাবে এটি সন্ধান করবে এবং আপাচে ভিন্ন শৃঙ্খলা (পুরানো মূল) উপস্থাপন করা সত্ত্বেও বিশ্বস্ত (নতুন) মূলের বিরুদ্ধে শংসাপত্রটি বৈধ করবে। বিশ্বস্ত শিকড় থেকে নতুন রুট কেটে ফেলার এবং মূল রুট সার্ট যুক্ত করার পরে, সমস্ত কিছু ঠিক আছে:

সেজন্যই এটা! আপনি পুনর্নবীকরণের সময় একই বেসরকারী কীটি রাখুন, নতুন বিশ্বস্ত রুটটিতে অদলবদল করুন এবং এটি বেশ কার্যকরভাবে কাজ করে । শুভকামনা!

আমি লক্ষ্য করেছি যে সিএ এক্সটেনশানগুলি মূল সিএ কী এর পুনর্নবীকরণ শংসাপত্রে অনুপস্থিত হতে পারে। এটি আমার জন্য আরও সঠিকভাবে কাজ করেছে (এটি একটি। / পুনরায়বেদককে সিএনএ এক্সটেনশান তৈরি করে যেখানে ca3key এবং ca.crt মূল সিএ কী এবং শংসাপত্র হিসাবে ধরে নেওয়া হয়) তৈরি করে:

openssl x509 -x509toreq -in ca.crt -signkey ca.key -out renewedselfsignedca.csr
echo -e "[ v3_ca ]\nbasicConstraints= CA:TRUE\nsubjectKeyIdentifier= hash\nauthorityKeyIdentifier= keyid:always,issuer:always\n" > renewedselfsignedca.conf
openssl x509 -req -days 1095 -in renewedselfsignedca.csr -signkey ca.key -out renewedselfsignedca.crt -extfile ./renewedselfsignedca.conf -extensions v3_ca

মূলের বৈধ সময়কাল বাড়ানোর জন্য বেসিক মোড (আপনার সর্বজনীন X.509 এবং বেসরকারী কী কী প্রয়োজন):

পাবলিক এক্স.509 এবং ব্যক্তিগত কী থেকে সিএসআর তৈরি করুন:

openssl x509 -x509toreq -in XXX.crt -signkey XXX.key -out XXX.csr

ব্যক্তিগত কী দিয়ে সিএসআরটিকে পুনরায় স্বাক্ষর করুন:

openssl x509 -in XXX.csr -out XXX.crt -signkey XXX.key -req -days 365

@ বিয়ানকনিগলিও প্লাস-সেট_সিয়েরি আমার পক্ষে কাজ করেছে। আমার সার্ভারটি কেবলমাত্র ইন্ট্রানেট তাই পার্শ্ব প্রতিক্রিয়াগুলি কী তা নিয়ে আমি খুব বেশি চিন্তিত নই এবং আমার এখন একটি "সঠিক" সমাধানে কাজ করার সময় আছে।

আমি নিম্নলিখিত কনফিগারযোগ্য স্ক্রিপ্ট ব্যবহার করেছি। সবেমাত্র ভেরিয়েবলগুলি সিএসিআরটি, কেকে এবং নিউসিএ সেট করুন।

# WF 2017-06-30
# https://serverfault.com/a/501513/162693
CACRT=SnakeOilCA.crt
CAKEY=SnakeOilCA.key
NEWCA=SnakeOilCA2017
serial=`openssl x509 -in $CACRT -serial -noout | cut -f2 -d=`
echo $serial
openssl x509 -x509toreq -in $CACRT -signkey $CAKEY -out $NEWCA.csr
echo -e "[ v3_ca ]\nbasicConstraints= CA:TRUE\nsubjectKeyIdentifier= hash\nauthorityKeyIdentifier= keyid:always,issuer:always\n" > $NEWCA.conf
openssl x509 -req -days 3650 -in $NEWCA.csr -set_serial 0x$serial -signkey $CAKEY -out $NEWCA.crt -extfile ./$NEWCA.conf -extensions v3_ca
openssl x509 -in $NEWCA.crt -enddate -serial -noout

যখন আপনার মূল শংসাপত্রটির মেয়াদ শেষ হবে, তাই আপনি স্বাক্ষরিত শংসাপত্রগুলি করুন। আপনাকে একটি নতুন মূল শংসাপত্র তৈরি করতে হবে এবং এটির সাথে নতুন শংসাপত্রগুলি সাইন করতে হবে। আপনি যদি প্রতি কয়েক বছর পরে এই প্রক্রিয়াটি পুনরাবৃত্তি করতে না চান তবে একমাত্র আসল বিকল্পটি হ'ল রুট সার্টে বৈধ তারিখটি দশ বা বিশ বছরের মতো বাড়িয়ে দেওয়া: আমার নিজের ব্যবহারের জন্য উত্পন্ন রুটটি আমি বিশ বছর রেখেছিলাম।

আপনি মূল শংসাপত্রটি "পুনর্নবীকরণ" করতে পারবেন না। আপনি যা করতে পারেন তা একটি নতুন তৈরি করা gene

আপনার পুরানোটির মেয়াদ শেষ হওয়ার কমপক্ষে এক বা দু'বছর আগে একটি নতুন শিকড় তৈরি করুন যাতে কোনও সমস্যা হয়ে গেলে সময় প্রাচীরের বিপক্ষে না গিয়েই আপনি পরিবর্তনের সময় পাবেন have আপনি যখনই নতুন সমস্যা সমাধান না করেন ততক্ষণ আপনি অস্থায়ীভাবে পুরানো শংসাপত্রগুলিতে ফিরে যেতে পারেন।

ভিপিএন টানেলগুলি যতদূর যায়, আমি পরীক্ষার জন্য বেশ কয়েকটি টেস্টবেড সার্ভার সেট আপ করব যাতে আপনি ক্লায়েন্টের মেশিনে এটি করার আগে আপনাকে কী করতে হবে তা সঠিকভাবে বুঝতে পারেন।

আমাদের একই সমস্যা ছিল, এবং এটি আমাদের ক্ষেত্রে ছিল কারণ ডিবিয়ান সার্ভারের মেয়াদ শেষ হয়ে গিয়েছিল এবং ওপেনএসএসএলে এই সমস্যাটি ছিল:

https://en.wikipedia.org/wiki/Year_2038_problem

দেবিয়ান 6 এর জন্য উপলব্ধ ওপেনএসএসএল এর শেষ সংস্করণটি এই সমস্যাটি নিয়ে আসে। 23.01.2018 এর পরে তৈরি সমস্ত শংসাপত্রগুলি একটি মান উত্পাদন করে: 1901 বছরের জন্য!

সমাধানটি হ'ল ওপেনএসএসএল আপডেট করা। আপনি ক্লায়েন্টদের জন্য আবার কনফিগার ফাইল (শংসাপত্র সহ) তৈরি করতে পারেন।