证书颁发机构到期

Question 1

许多知名的受信任根 CA 的有效期为 20 年、30 年或更长。趋势是在这些 CA 之下建立下属 CA，这些 CA 在根 CA 的信任下运行。根 CA 可以脱机，并且不用于任何最终用户证书。如果下属 CA 受到威胁，可以将其替换，而不会影响受信任的根 CA 证书。

另一方面，在乐观的情况下，应该有一些自动化的方式来管理和在证书到期之前更换证书。这方面有商业应用，有些人也开发了自己的应用。如果没有这些，这个过程需要大量的管理工作，而且很容易出错。如果证书在更换之前到期，企业的某个组件可能会关闭。

您可以续订根 CA，但如果客户端没有有序的方式来更新此证书，则可能会出现问题。如果您创建新的根 CA，则可以独立于现有根 CA 证书执行此转换，而不会影响现有操作。

Answer

许多知名的受信任根 CA 的有效期为 20 年、30 年或更长。趋势是在这些 CA 之下建立下属 CA，这些 CA 在根 CA 的信任下运行。根 CA 可以脱机，并且不用于任何最终用户证书。如果下属 CA 受到威胁，可以将其替换，而不会影响受信任的根 CA 证书。

另一方面，在乐观的情况下，应该有一些自动化的方式来管理和在证书到期之前更换证书。这方面有商业应用，有些人也开发了自己的应用。如果没有这些，这个过程需要大量的管理工作，而且很容易出错。如果证书在更换之前到期，企业的某个组件可能会关闭。

您可以续订根 CA，但如果客户端没有有序的方式来更新此证书，则可能会出现问题。如果您创建新的根 CA，则可以独立于现有根 CA 证书执行此转换，而不会影响现有操作。

Question 2

在证书颁发机构 MMC 管理单元 ( certsrv.msc) 中，如果右键单击服务器对象，则在“所有任务”下有一个用于更新证书的选项。

更新选项

编辑： 肯定刚刚意识到你没有指定哪种类型的 CA。显然，我今天处理了太多的 Windows。如果需要（或者为了完整性，如果不是），以下是通过 OpenSSL 执行的过程：

openssl req -new -key oldrootca.key -out newcsr.csr
openssl x509 -req -days 3650 -in newcsr.csr -signkey oldrootca.key -out newcrt.crt

Answer

在证书颁发机构 MMC 管理单元 ( certsrv.msc) 中，如果右键单击服务器对象，则在“所有任务”下有一个用于更新证书的选项。

更新选项

编辑： 肯定刚刚意识到你没有指定哪种类型的 CA。显然，我今天处理了太多的 Windows。如果需要（或者为了完整性，如果不是），以下是通过 OpenSSL 执行的过程：

openssl req -new -key oldrootca.key -out newcsr.csr
openssl x509 -req -days 3650 -in newcsr.csr -signkey oldrootca.key -out newcrt.crt

相关内容