【发布时间】:2019-01-22 21:14:49
【问题描述】:
我正在寻找关于如何在 EJBCA 中成功更新 CA 的明确答案。我们已经有数千个由 EJBCA 颁发的客户端证书,它实际上是由外部 CA 签名的子 CA。这个过程确实记录在这里https://www.ejbca.org/docs/Renewing_a_SubCA_Signed_by_an_External_CA.html,但它没有明确说明已经颁发的客户端证书会发生什么。他们会继续通过新 CA 成功验证吗?
【问题讨论】:
【发布时间】:2019-01-22 21:14:49
【问题描述】:
该链接提供了两个更新密钥的选项:
1。使用相同的 CA 签名密钥
如果您参考 RFC 3647,这是 renewal 的正确定义。在这种情况下,密钥保持不变,证书主题保持不变。实际上,新证书与旧证书相同,尽管日期不同。
信赖方将像信任原始证书一样信任此证书。
2。生成新的 CA 签名密钥
正确的说法是re-key。键发生变化,主题保持不变。就任何依赖方而言,该证书是不同的证书。这可能意味着您需要做更多的工作。
您首先需要确定原始 CA 证书会发生什么。它会过期或被撤销,还是仍然有效?
如果它即将停用,您需要替换由该原始 CA 证书颁发的所有证书,因为它们只会通过原始 CA 进行验证。
如果不是,并且您出于其他原因重新键入密钥,例如原始 CA 证书的 CRL 变得太大而无法管理,则无需急于更换所有订户证书。旧 CA 证书仍将验证这些证书,而新 CA 证书颁发的订阅者证书将由新 CA 证书验证。
【讨论】:
-
谢谢。我们能够使用您列出的两个选项进行续订。在我们的案例中,原始 CA 证书仍然有效,因此我们的最终用户不会获得新证书。顺便说一句,选项 1 和 2 取决于网络卫生/安全政策。我们对两者都进行了测试,并且都运行良好。