我正在实施我们的项目特定证书颁发机构 (CA)。我遇到过类似更新CA证书的案例。
问题是,我们有非常大的系统,我们将证书提供给多个组件(我们向数千个实体颁发证书)。因此,如果我们在更新时直接撤销旧证书,则会导致安全问题。为此,我们遵循这样的过程,我们只需向外部 CA 添加一个新证书,我们将更新 CA 颁发的所有实体证书的证书。
这个过程运行良好,但我在发布 CRL 时遇到了小问题(因为 CRL 是由 CA 的证书签名的)。
如果我们使用 CA 的旧证书签名,那么已经更新的实体将面临安全问题,如果我们使用 CA 的新证书签名,那么拥有旧证书的实体将面临安全问题。
我的系统中 CA 的更新过程需要一段时间。在这种情况下,我建议将 2 个 CRL 发布到更新的 CA。
但我不确定是否可以为同一个 CA 发布 2 个 CRL。
请对上述说法发表评论。