我们目前在域成员计算机上安装了 Microsoft 企业证书服务器,它向用户颁发 1 年证书以对 VPN 进行身份验证。
我们希望开始从我们的 CA 颁发 Web 服务器证书,以保护 Dell Open Manage(系统管理应用程序)和 Microsoft RDP。因为我们有很多服务器(100 多台)而且我还没有找到自动化证书安装的方法(注意安装 - 不是部署 - 我知道如何自动部署),我们正在考虑在服务器的生命周期内颁发证书。我们的大多数服务器都使用了 10 年或更短时间,因此我们需要 10-15 年的证书。
据我了解,CA 颁发证书的时间不能超过它们本身的有效期。因此,如果我们想颁发 10 年的 SSL 证书,我们的根 CA 证书需要至少 11 年有效,但实际上可能是 15-20 年。
此外,我了解证书的持续时间越长,私钥就越容易受到损害,因此希望使用更长的密钥长度来获取更长的证书。
我正在考虑将根证书更新更长的时间,但我有以下问题:
1) 在最佳实践中生成根证书需要 15-20 年吗?我再次理解,理想情况下,我们会颁发较短的证书 - 但每年安装所述证书所涉及的体力劳动并非微不足道,因此希望使用更长的长度 - 只要这样做是相当安全的
2) 我们应该为根 CA 使用 4096 密钥长度还是我们可以使用更短的密钥?我所做的一些阅读表明某些网络设备不支持超过 2048 位的证书。
3) 更新根证书时,我们可以选择重用其现有密钥对或生成新密钥对。我理解从安全的角度来看,生成一个新的密钥对会更好,但是如果我们这样做,我们现有的已颁发证书是否会继续运行而无需进行任何更改?
谢谢
布拉德