证书更新
为确保各方面信息的准确,证书的初始申请过程是非常复杂的,需要检查很多信息。此外,数字证书都有有效期的限制,那么订户在数字证书即将过期的时候就需要一份新的证书。如果此时重新完成一次初始申请时的申请过程,订户需要重新收集自己的各种信息,CA也同样需要重复劳动来审核。这在大多数情况下看来显然不是一个很明智的方法。因此,一种安全快捷的方式就应该在合适的情况下,尽可能的省略一些流程,尽可能的复用已有的信息,使得CA能够尽快地签发新的证书。这种正常状态下仅仅更换有效期或更换密钥的过程就是证书更新。我们在此节中介绍证书更新适用范围以及能够省略的操作流程。
证书更新的初衷是使PKI用户无间歇地持续使用PKI服务。因此,证书订户应当在证书到期之前向CA提出证书更新请求,比如在到期前的一个月或者一周就提出更新请求,以便CA在订户证书失效前为其更新。新证书的生效日期一般早于旧证书的失效日期,而新证书的失效日期将相应的延后。
证书的更新操作一般有哪些步骤呢?证书的更新必然需要CA签发一份新的证书,但是此时的审核签发过程和订户第一次申请时是不同的。在需要更新时,证书订户已经在初始申请时经过了CA的各项审核,此时证书订户的目的仅是希望获得一个失效期更晚的证书来继续享受PKI系统的服务,那么CA完全可以不对此证书订户的身份信息进行审核。CA此时需要生成的新证书的主要内容跟现有证书相比基本一样,甚至沿用现有的公钥,不同之处仅仅在于序列号以及生效和失效日期。而证书第一次的产生操作中,由于对申请人认知的空白,需要申请人通过各种形式提供所需的身份证明材料,且提供能够进行POP检查的公钥,再经过严格审查才能提供相应级别的证书。可见,证书的更新操作和证书的初始产生操作最大的不同就在于审核过程。
订户要进行证书的更新操作,需要满足以下条件:
1)订户现持有一份尚且有效的证书。
2)该证书绑定的公钥所对应的私钥不存在泄露等安全问题。
3)更新请求仅是要求延后失效日期或更换一对密钥。
CA在收到了满足以上条件的订户证书更新请求时,可以进行非常简化的审核过程(或者完全省掉审核),直接利用原有证书的各项内容,仅需修改生效日期和失效日期,然后CA签名发布即可。
除了延长临近到期的证书的有效期之外,在其它情况下订户也可能会向CA提出证书的更新以变更自己的公私密钥对。需要注意的是,这样的变更请求不能是因为旧证书绑定的公钥所对应的私钥泄露或者疑似泄露等安全原因。
订户在更新时要求更换密钥一般是以下几种情况。
比如,订户本身对密钥定期更新有自己的要求(与CA公司无关),那么在密钥达到更新期时,哪怕CA颁发的证书仍然有效且没有任何其它异常,订户也会向CA提供新的公钥,要求更新证书。当然,CA公司如果对密钥也有类似的定期更换要求,到达更换期时,CA公司也会为订户更新证书。此外,如果研究发现某种长度的密钥或者某种加密算法不再安全,订户证书恰好使用这类算法,那么订户也可提出证书的更新要求。注意,当更新操作涉及到密钥的变更时,必须重新进行POP检查。
CA不应接受其它形式的证书更新请求。比如,订户可能要求更改数字证书中的某些个人信息。主要原因就是这样的变更请求直接牵涉到CA在对该订户第一次请求证书时的审核。订户初始申请时,CA是以原始材料中的信息进行审核和批准。但现在订户要求修改的内容改变了原始材料中的某项,而此时修改后的结果如果放到最初的申请审核时,可能造成第一次申请材料的审核不能通过。又如,订户要求更新证书使得新证书具有更高的安全等级。因为CA是根据最初的申请材料和CPS来决定颁发某种安全等级的证书的,所以要求改变安全等级之类的更新请求也完全不符合更新的基本前提和目的。
在此对上述个人信息项更新的问题进行补充说明。数字证书里的个人信息部分,从标准上来说是有必须检查和无需检查之分的。所以如果订户在更新请求中要求修改的个人信息部分属于无需检查的部分,那么从原则上来说CA可以接受这类更新请求。但是实际中,无需检查的部分基本很少被CA所采用,也就是说绝大多数情况下都为空。
此外,有的证书订户在签名私钥被销毁后(如存放私钥的USB KEY设备遭到物理损坏)也会请求CA公司进行证书更新。由于订户此时没有了私钥(也没有机构能恢复私钥),CA无法通过在线的技术手段来鉴别订户的身份,无法确知这个更新请求是否由该订户所发出,因此CA无法在线地接受更新请求。但订户可通过带外方式向CA证明自己的身份,比如到CA公司出示身份证、USB KEY等。通过带外的方式鉴别了订户的身份和更新请求后,CA就可按照证书更新的流程为订户签发新证书。
鉴于证书更新操作的严格要求和实际中可能出现的多样的更新请求,我们不妨对证书的更新概念进行适当扩展和提炼。我们可如此定义证书的更新:在订户的数字证书的更新请求中,如订户提出的期望更新的项目完全不违背该订户最初接受审核时所有涉及到审核方面的情形,那么CA可以简化或者省略此次审核过程,进入更新操作流程,快速地签发新证书,达到更新目的。
更新操作并不是PKI技术方面的必然需要,仅是为了在某些情况下缩减审核操作。有的CA公司在其CPS里规定,不支持任何更新操作,也就是说任何要求更新证书的请求都需要申请者重新提交申请材料,CA重新进行完整地审核才能签发新的证书。这样的规定可能是因为某些在此方面有特别要求的情况,或者CA公司希望通过这样的CPS来显示自己有非常严格的管理机制。