我正在寻找有关如何在EJBCA中成功续签CA的明确答案。 EJBCA已经发布了数千个客户端证书,它们实际上是由外部CA签名的子CA。 https://www.ejbca.org/docs/Renewing_a_SubCA_Signed_by_an_External_CA.html确实记录了该过程,但是并没有明确说明已发布的客户证书将如何处理。他们会继续通过新的CA进行成功验证吗?
答案 0 :(得分:0)
该链接为续订密钥提供了两种选择:
如果您参考RFC 3647,则这是renewal的正确定义。在这种情况下,密钥保持不变,证书主题保持不变。实际上,新证书与旧证书相同,只是日期不同。
依赖方将以与信任原始证书相同的方式信任此证书。
正确的说法是re-key。按键更改,主题保持不变。就任何依赖方而言,该证书是不同的证书。这可能意味着您需要做更多的工作。
您首先需要确定原始CA证书会发生什么。它会过期还是被撤销,或者仍然有效?
如果该证书已退休,则需要替换该原始CA证书颁发的所有证书,因为它们只会通过原始CA进行验证。
如果没有,并且由于其他原因要重新输入密钥,例如原始CA证书的CRL太大而无法管理,那么就不必急于替换所有订户证书。旧的CA证书仍将验证那些证书,而新CA证书颁发的订户证书将由新CA证书验证。