Certificates: Change expiration time

I believe the certs inherit the end date from the CA.  I would think they could import a purchased CA.

If they just want to change them every year, all they need to do is regenerate the self-signed "VPN Signing CA" on the 'Advanced' tab of Certificate Management'.  If they don't want to do that, there are other possible solutions depending on the details of the situation.

What advantage do they think they'll get by having the certs expire anyway?

Cheers - Bob

I do not know the reasons for Twister5800 to use certificates valid only one year, but this will definitely become a problem with waf soon:

Mozilla considers rejecting long-lived digital certificates following similar decision by Google | Security - InfoWorld

If they just want to change them every year, all they need to do is regenerate the self-signed "VPN Signing CA" on the 'Advanced' tab of Certificate Management'.  If they don't want to do that, there are other possible solutions depending on the details of the situation.

What advantage do they think they'll get by having the certs expire anyway?

Thanks for replying :-)

The customer is very paranoid with security, so thats why the want to have the knowledge that a certificate cannoit be older than this.

But I thought of this, will the SSL client even tell that the certificate is Aboud to expire, or will is just expire and telling the user that he/she cannot log on?

Regards Martin

Then, just use the approach of regenerating the VPN Signing CA on a regular basis. That will force all cert-based VPNs to be configured to work with the new certs. The Remote Access users will all need to renew their configurations through the User Portal.  Since the old certs were only useful for your specific UTM, they are, in effect, cancelled. 

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

Thanks again, I figured that out, butthe customer want the Company Certificate being held up with the users Company certificate also, before connection can be done, thats the latest news! - But I told them that this cannot be done by any device I know of.

regards Martin

In essence, the VPN Signing CA is the company certificate.  When you generate a new one, just delete the old one.  Another advantage to this is that they can choose their own "renewal" date.

Of course, if they want to invest in their own CA that has only a 1-yr lifetime, they could do that even though it risks disrupting things unnecessarily.  I wouldn't want to be the CIO that sold that to my CEO though as it could easily lead to an RGO (resume-generating opportunity). [;)]

Cheers - Bob