Приветствую! Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в x509 и OpenSSL.
Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать все сертификаты подписанные этим subCA? Расклад такой: 1. Есть свой CA который находится в доверенном окружении. 2. Есть subCA, подписанный CA, который выпускает сертификаты для клиентов. К сожалению, он может быть скомпрометирован. Про его компрометацию и ее дату мы будем знать. Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались валидными. openssl verify и certtool --verify считают что если subCA отозван по любой причине то все выпущенные им сертификаты уже не валидны. Не взирая на даты выпуска сертификата и отзыва subCA. Если при отзыве subCA дата в -crl_compromise никак не учитывается и сертификаты нужно перевыпускать обязательно то есть ли возможность как-то объяснить серверу что клиентов с сертификатами выпущенными определенным subCA после даты N пускать нельзя? -- With Best Regards, Maksym Tiurin JID: mrko...@jabber.pibhe.com -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/m3egr1t0v7....@comp.bungarus.info
