En 2004, j'ai mis en place une petite autorité de certification en utilisant OpenSSL sous Linux et les scripts de gestion simple fournis avec OpenVPN. Conformément aux guides que j'ai trouvés à l'époque, j'ai fixé la période de validité du certificat de l'autorité de certification racine à 10 ans. Depuis, j'ai signé de nombreux certificats pour des tunnels OpenVPN, des sites web et des serveurs de messagerie, qui ont tous également une période de validité de 10 ans (c'était peut-être faux, mais je ne savais pas mieux à l'époque).
J'ai trouvé de nombreux guides sur la mise en place d'une AC, mais très peu d'informations sur sa gestion, et en particulier, sur ce qu'il faut faire lorsque le certificat de l'AC racine expire, ce qui arrivera dans le courant de l'année 2014. J'ai donc les questions suivantes :
- Les certificats dont la période de validité s'étend après l'expiration du certificat de l'AC racine deviendront-ils invalides dès l'expiration de ce dernier, ou continueront-ils à être valides (parce qu'ils ont été signés pendant la période de validité du certificat de l'AC) ?
- Quelles opérations sont nécessaires pour renouveler le certificat de l'autorité de certification racine et assurer une transition en douceur à son expiration ?
- Puis-je, d'une manière ou d'une autre, re-signer le certificat de l'autorité de certification racine actuelle avec une période de validité différente, et télécharger le nouveau certificat signé vers les clients afin que les certificats des clients restent valides ?
- Ou dois-je remplacer tous les certificats des clients par de nouveaux certificats signés par une nouvelle autorité de certification racine ?
- Quand le certificat de l'autorité de certification racine doit-il être renouvelé ? A l'approche de l'expiration, ou un temps raisonnable avant l'expiration ?
- Si le renouvellement du certificat de l'autorité de certification racine devient un travail important, que puis-je faire de mieux maintenant pour assurer une transition plus douce lors du prochain renouvellement (à part fixer la période de validité à 100 ans, bien sûr) ?
La situation est rendue légèrement plus compliquée par le fait que mon seul accès à certains des clients se fait par le biais d'un tunnel OpenVPN qui utilise un certificat signé par le certificat actuel de l'autorité de certification. Donc, si je dois remplacer tous les certificats des clients, je devrai copier les nouveaux fichiers sur le client, redémarrer le tunnel, croiser les doigts et espérer qu'il se rétablisse ensuite.
