我有一个在 Windows Server 2012 R2 中管理的独立 CA。其证书有一个DN
包含CN
和的DC
,如CN=CAName,DC=domain,DC=tld
。此根证书无法存储在 Firefox 中,可能是因为它缺少O
和/或OU
部分,所以我想更改根证书,将添加O=companyname,OU=IT
到DN
。
我注意到已颁发的证书具有指定 的“X509v3 授权密钥标识符” keyid
(它们缺少dirname
、serial
或对 CA 密钥的任何其他引用)。我认为这意味着我可以使用相同的私有 CA 密钥颁发新证书,而不会使所有已颁发的证书无效。
那么,我如何创建一个包含O
和OU
的新 CA 证书DN
?
谢谢。
答案1
我认为这意味着我可以使用相同的私有 CA 密钥颁发新证书,而不会使所有颁发的证书无效。
不幸的是,你不能。当所有颁发的证书都迁移后,你将不得不构建一个新的 CA 和 PKI 树并停用当前的 CA 和 PKI 树。没有其他解决方法。
或任何其他对 CA 密钥的引用
它们在字段中引用颁发者名称Issuer
。因此,如果您更改 CA 名称,Subject
即使两个 CA 证书共享相同的密钥对,具有不同字段的新 CA 证书也不能用于验证以前颁发的证书。这就是证书链引擎在将证书绑定到链中时的工作方式。