Default CA

Hi all,

On UTM v9 we could push our own signed CA certificate to be used as the certificate to generate all certificates that the UTM uses as with cert hierarchy of our organisation. Can't seem to see where to do this, on Assets > Identity > Certificate Authority there is the Default CA which seems to be the only one that can be used for certificate generation.

I cannot upload a PKCS12 or PEM to replace this, all I can do is change it's details. After investigating and playing about i've found gripes that I normally sail through subconsciously, so:

1. Why can't I upload a signed CA cert generated by our organisation to replace this "default" cert?

2. This default cert is being generated as SHA-1 of which the internet is being told (not suggested) to move to SHA-2 as a minimum due to the theoretical attacks on SHA-1, why can't we choose the algorithm used?

3. Is the hostname field on this CA cert used as the hostname for the Copernicus unit? (in UTM v9, the hostname setting would be at: Management > System Settings > Hostname)

4. Can we have the option to choose how we download certs, I'd rather download in PKCS12 format with password for security rather than PEM (or at least give the option for choosing the extension type so the layman won't pull their hair out mistakenly installing crazy software rather than renaming it)?

5. Brings me back to #2 which this Q will probably be answered by the answer to that, the SSL VPN cert is also SHA-1 which is because the CA is generated as SHA-1. Again, can we have the option for generation type? (This is kinda a null question because it's related to #2).

6. Can we have the option to download any and all certs from the Assets > Identity > Certificate Authority/Certificates? In my case, 90% of all certificate issues i've managed to solve have been easily rectified by downloading the cert and doing stares and compares, we cannot safely rely on companies/users keeping a secret stash of their certs in a secure area (although they should); being able to download from the UTM/Copernicus is useful and needed.

7. There is no clear definition whether the cert installed has the private key (on UTM the differentiation was green for having key, blue for non key cert). How can we differentiate between what certs have a private key and which ones don't? I'm sure some of the details in the hover pop up will allow differentiation, but there is nothing more assuring than a tiny picture of the key on the row somewhere.

It seems like there are a lot of gripes but these are comfort features and needs. The world of certification and encryption is accelerating even faster to "If you're not using them properly, you're kinda not complying/stuffed" from "it would be nice to have, not necessary though". So having maximum control over the certification systems is a boon and would prevent issues in the future as certs become even more prevalent as they are now.

If anyone else would like to chime in with anything i've missed, please do!

Emile