我创建了 CSR,并要求我所在组织的内部 CA 团队生成证书,然后将其部署在内部服务器上。但是,连接到此服务器的客户端不信任该证书,因此我需要使用该实用程序将密钥签名添加到客户端的 Java 密钥存储中keytool。
现在,该证书将在几个月后过期。是否可以安装两个证书,以便在将新密钥添加到所有客户端的密钥存储区时有一个过渡期?
举个例子,有数百个客户端,每个客户端由不同的团队控制。因此,在短时间内更换所有客户端的密钥确实很困难。
答案1
现在,该证书将在几个月后过期。是否可以安装两个证书,以便在将新密钥添加到所有客户端的密钥存储区时有一个过渡期?
这是一个XY问题。
正确的解决方案是将 CA 证书添加到相关密钥库中。在证书到期前的几个月内添加 CA 证书,当证书需要续订时,只需将其替换为同一 CA 颁发的证书即可。