Step 允许使用现有的根证书step ca init --root=a.crt --key=a.key。在这种情况下,step 会生成中间证书以供以后使用。但是,我的根证书之前已经用于在 step 之外生成证书。
解决这个问题而不在“A”CA 中发生序列冲突的想法是使用中间 CA“B”,然后 step 可以将其作为 root 来使用。然而,这在运行 step 时会导致问题,因为 step 对“A”CA 一无所知。我希望 step 创建另一个由“B”签名的中间 CA,如下所示:
A my old root, used for other manually managed certificates
\-B a new CA certificate, managed manually
\-C Step's intermediate CA
有办法实现这个吗?
答案1
运行第三级 CA 是可能的,但由于“序列冲突”的原因,不需要。step 控制的 CA 的签名也可以通过 step 完成,Astep 不需要控制根,它只是默认创建一个,可以与中间 CA 一起替换,如中所述问题页面:
[...] 首先,
step-ca实际上不需要根 CA 签名密钥。因此,您只需删除该文件即可 [...]
解决方案只是在使用步骤作为 CA 之前替换根证书和中间证书(包括后者的密钥)。