使用相同的私钥生成证书链是一种不好的做法吗
Is it a bad practice to generate a certificate chain with the same private key
我正在使用来自硬件安全模块的相同签名密钥生成一个包含根 CA、中间 CA 和叶证书的证书链。在我在网上看到的所有教程中,这 3 个证书总是使用不同的密钥生成的。但是,为证书链中的所有证书重复使用安全存储的私钥是否是一种不良做法?
这是一种不良做法,可能会导致严重的安全问题并使 PKI 层次结构的概念无效。让我们想象一下您的私钥被泄露的场景,在这种情况下您将不得不撤销 3 个证书,包括您的根证书颁发机构。
一个好的做法是,
- 为每个实体和 CA 使用单独的密钥
- 让你的 root-ca 保持离线状态
- 使用中间 CA 颁发最终实体证书
通过这种方式,如果其中一个密钥(实体)被泄露,您可以使用证书吊销列表吊销证书。
我正在使用来自硬件安全模块的相同签名密钥生成一个包含根 CA、中间 CA 和叶证书的证书链。在我在网上看到的所有教程中,这 3 个证书总是使用不同的密钥生成的。但是,为证书链中的所有证书重复使用安全存储的私钥是否是一种不良做法?
这是一种不良做法,可能会导致严重的安全问题并使 PKI 层次结构的概念无效。让我们想象一下您的私钥被泄露的场景,在这种情况下您将不得不撤销 3 个证书,包括您的根证书颁发机构。
一个好的做法是,
- 为每个实体和 CA 使用单独的密钥
- 让你的 root-ca 保持离线状态
- 使用中间 CA 颁发最终实体证书
通过这种方式,如果其中一个密钥(实体)被泄露,您可以使用证书吊销列表吊销证书。