Hlavní navigace

Názor k článku Yubikey Neo po dvou letech od Ondrej Mikle - Mně jako jednodušší řešení přijde obdoba používaná u...

  • Článek je starý, nové názory již nelze přidávat.
  • 19. 11. 2015 13:07

    Ondrej Mikle (neregistrovaný) 2001:1488:fffe:----:----:----:----:----

    Mně jako jednodušší řešení přijde obdoba používaná u serverových certifikátů - nějaký týden před vypršením se vygeneruje nový certifikát s platností od momentu vzniku a ním se nahradí starý na PIV appletu/kartě.

    Pokud to už chcete řešit ve větším měřítku, tak je rovnou dobré si ty cerifikáty podepisovat svou vlastní CA a pak nenarazíte na problém, že se nový certifikát nerozšířil do autorizačních systémů.

    Jinak přinejhorším šlo použít slot 9c jako extra místo pro další certifikát a klíč. Myslím, že běžné PKCS#11 aplikace to normálně nerozlišují (klíč akorát musí správný flag - "sign", "encrypt", podle aplikace).