我们有一个现有的内部根 CA 独立机构,它为我们的域名 mycompany.com 颁发证书。我们在整个公司安装了来自此 CA 的多个证书。我们面临的问题是,我们有一个思科 VPN,需要信任此 CA 的移动设备 VPN,但由于根 CA 的到期日期超过了 2038 年,因此返回错误,并且不接受它。现在的问题是如何解决这个问题?如果我使用相同的私钥/公钥和 2038 年之前的到期日期续订根 CA,我是否需要续订此 CA 已颁发的证书?我们正在考虑的第二个选项是安装一个下属颁发 CA,在这种情况下,问题是这个 CA 是否能够为域名 mycompany.com 颁发证书?如果 PKI 专家能就如何摆脱这种困境提出任何建议,我们将不胜感激。
答案1
关于你的第一个回答,我自己也一直在想这个问题。我会在你的实验室里测试这个非常具体的场景!我认为应该可以用相同的密钥但另一个到期日期来续订证书。
关于颁发 (在线) CA。您的思科 VPN 应验证直至根 CA 的信任链,然后再次投诉根 CA 的有效期。
因此,您要么需要使用相同的密钥和更短的有效期来更新根 CA,要么需要设置第二个 CA。