几年前,我们在 widnows 2003 服务器(CAserver1)上安装了证书颁发机构。我们创建了一个自签名根证书,并为内部服务(https、WCF 服务等)颁发了证书。
快进到现在:我们的一个主要服务器崩溃了,通过一系列服务器改组,CA 通过 CA 的备份/恢复移至 Windows 2008r2 服务器 (CAserver2)。这在几天内运行良好,但后来事情开始出现问题。似乎根证书及其下的所有颁发证书都将 CAserver1 硬编码到 CRL 中。我们将 CAserver1 添加到发布 CRL 的位置列表中,这似乎解决了眼前的问题,但我们真正想要的是长期解决这个问题。
有没有办法更改根证书上的 CRL,或者直接将其全部删除?
答案1
我们最终只是创建了一个经过更认真设置的新根证书。