Windows 2003, PKI, повторный экспорт сертификата
Собрался писать умный вопрос в рутовые конференции, но пока писал, осознал всё сам.
Схема иерархии CA выглядит следующим образом:
Некто даёт запрос на сертификат. Запрос - это на самом деле открытый ключ из пары ключей (закрытый/открытый), которые генерируются в момент формирования запроса. Этот запрос направляется к CA, который подписывает публичный ключ своим закрытым ключом. Получившееся и является cer-файлом (в котором хранится ТОЛЬКО открытый ключ плюс его подпись CA). Этот cer-файл скармливается запрашивающему, тот убеждается, что сертификат подписан - и начинает использовать свой ЗАКРЫТЫЙ ключ для работы. А все остальные могут использовать открытый подписанный ключ, чтобы убедиться, что это именно тот прохиндей, за которого он себя выдаёт.
Соответственно, ЕДИНСТВЕННЫЙ метод получить чей-то закрытый ключ - это выцарапать его из хранилища этого самого "чьего-то". Если хранилище умерло и бэкапов нет, то CA не может повторно выпустить тот же самый ключ (просто потому, что у него (у СА) нет второй половинки ключа).
Схема иерархии CA выглядит следующим образом:
Некто даёт запрос на сертификат. Запрос - это на самом деле открытый ключ из пары ключей (закрытый/открытый), которые генерируются в момент формирования запроса. Этот запрос направляется к CA, который подписывает публичный ключ своим закрытым ключом. Получившееся и является cer-файлом (в котором хранится ТОЛЬКО открытый ключ плюс его подпись CA). Этот cer-файл скармливается запрашивающему, тот убеждается, что сертификат подписан - и начинает использовать свой ЗАКРЫТЫЙ ключ для работы. А все остальные могут использовать открытый подписанный ключ, чтобы убедиться, что это именно тот прохиндей, за которого он себя выдаёт.
Соответственно, ЕДИНСТВЕННЫЙ метод получить чей-то закрытый ключ - это выцарапать его из хранилища этого самого "чьего-то". Если хранилище умерло и бэкапов нет, то CA не может повторно выпустить тот же самый ключ (просто потому, что у него (у СА) нет второй половинки ключа).