我正在实施我们的项目特定证书颁发机构(CA)。 我遇到过更新CA证书的案例。
问题是,我们有非常大的系统,我们将Certs提供给多个组件(我们向数千个实体颁发证书)。 因此,如果我们在续订时直接撤销旧证书,则会导致安全问题。 为此我们遵循这样的过程,例如,我们只是向CA添加新证书,我们将更新CA颁发的所有实体证书的证书。
此过程运行正常,但我在发布CRL时遇到小问题(因为CRL由CA证书签名)。
如果我们使用旧的CA证书进行签名,那么已经续订的实体将面临安全问题, 如果我们使用新的CA证书进行签名,则具有旧证书的实体将面临安全问题。
我系统中CA的续订过程需要一段时间。 在这种情况下,我建议将2个CRL发布到续订的CA.
但我不确定是否可以为同一个CA发布2个CRL。
请评论上述声明。