我们已经构建了 2 级 PKI。最近我们决定开始在单独的 Web 服务器上托管我们的 CDP 和 AIA。然而,这最初并不是设计中的,因此现在我们的证书链出现了问题,因为 Web 服务器包含在根证书中。为了验证这是否是问题所在,我让我们的一个下属在短时间内公开访问,以便它可以检索其上的根 AIA 信息,这确实解决了证书链问题,因此我需要在根 AIA 证书信息中包含 Web 服务器并在该服务器上托管 AIA。
所以现在我可以通过更改根 AIA URL、向其中添加 Web 服务器并重新颁发下属证书来解决我们的问题,但是是否还有一种不包括更新下属证书的方法?