证书颁发机构过期后,是不是就一去不复返了?有没有办法续订?还是我应该生成新证书?我真的不想再生成新证书,因为这个证书颁发机构已经得到了我们许多客户的信任。我正在处理遗留问题,刚刚发现我们的 CA 将于 2015 年到期。
谢谢!
答案1
许多知名的受信任根 CA 的有效期为 20 年、30 年或更长。趋势是在这些 CA 之下建立下属 CA,这些 CA 在根 CA 的信任下运行。根 CA 可以脱机,并且不用于任何最终用户证书。如果下属 CA 受到威胁,可以将其替换,而不会影响受信任的根 CA 证书。
另一方面,在乐观的情况下,应该有一些自动化的方式来管理和在证书到期之前更换证书。这方面有商业应用,有些人也开发了自己的应用。如果没有这些,这个过程需要大量的管理工作,而且很容易出错。如果证书在更换之前到期,企业的某个组件可能会关闭。
您可以续订根 CA,但如果客户端没有有序的方式来更新此证书,则可能会出现问题。如果您创建新的根 CA,则可以独立于现有根 CA 证书执行此转换,而不会影响现有操作。
答案2
在证书颁发机构 MMC 管理单元 ( certsrv.msc
) 中,如果右键单击服务器对象,则在“所有任务”下有一个用于更新证书的选项。
编辑: 肯定刚刚意识到你没有指定哪种类型的 CA。显然,我今天处理了太多的 Windows。如果需要(或者为了完整性,如果不是),以下是通过 OpenSSL 执行的过程:
openssl req -new -key oldrootca.key -out newcsr.csr
openssl x509 -req -days 3650 -in newcsr.csr -signkey oldrootca.key -out newcrt.crt