我正在寻找关于如何在 EJBCA 中成功更新 CA 的明确答案。我们已经有数千个由 EJBCA 颁发的客户端证书,它实际上是由外部 CA 签名的子 CA。该过程确实记录在此处https://www.ejbca.org/docs/Renewing_a_SubCA_Signed_by_an_External_CA.html但它没有明确说明已经颁发的客户端证书会发生什么。他们会继续通过新 CA 成功验证吗?
问问题
891 次
1 回答
2
该链接提供了两种更新密钥的选项:
1.使用相同的CA签名密钥
如果您参考 RFC 3647,这是更新的正确定义。在这种情况下,密钥保持不变,证书主题保持不变。实际上,新证书与旧证书相同,尽管日期不同。
依赖方将以与信任原始证书相同的方式信任此证书。
2. 生成新的 CA 签名密钥
正确的术语是re-key。键发生变化,主题保持不变。就任何依赖方而言,该证书是不同的证书。这可能意味着您需要做更多的工作。
您首先需要确定原始 CA 证书会发生什么。它会过期或被撤销,还是仍然有效?
如果它即将停用,您将需要替换由该原始 CA 证书颁发的所有证书,因为它们只会通过原始 CA 进行验证。
如果没有,并且您出于其他原因重新键入密钥,例如原始 CA 证书的 CRL 变得太大而无法管理,则无需急于更换所有订户证书。旧 CA 证书仍将验证这些证书,而新 CA 证书颁发的订户证书将由新 CA 证书验证。
于 2019-01-22T13:14:49.343 回答