我有一个自签名 CA,已经使用了好几年。最近我为我们的 LAN 签名/颁发的证书现在在 Chrome 中收到警告,原因是“密钥弱”。有没有一种使用 openssl 的直接方法来替换或升级根 CA 密钥以使用更强的加密,从而避免在签名证书上出现“不安全”的 Chrome 标记?
答案1
不幸的是,升级根 CA 密钥的唯一方法是用更新、更强大的密钥对替换它,然后使用新的密钥对自行签署新的根 CA 证书。
下一步取决于您是否决定在 PKI 设计中使用从属 CA。
如果你没有选择下属 CA,则需要重新签署1 全部最终实体证书必须使用此新的根 CA,并且订户必须配置他们的服务/应用程序以在其链中显示其新签名的最终实体证书。
如果您确实选择了从属 CA,则只需使用此新的根 CA 重新签署从属 CA。然后,您必须将重新签署的从属 CA 证书提供给所有最终实体订户,这些订户必须配置其服务/应用程序以在其链中显示此重新签署的从属 CA 证书。注意:不要在此处重新密钥2从属 CA,否则您必须使用重新密钥的从属 CA 重新签署所有最终实体证书。
无论哪种情况,您都需要将新的根 CA 证书分发给所有依赖方,并将它们全部配置为信任此新链。
根据您遗产的规模,这可能是一项相当重大的任务。在两种情况下:
- 您重新密钥您的根 CA 一次;
- 您的服务/应用程序所有者将需要重新配置他们的服务以使用链中的替换 CA 证书;
- 您需要将根 CA 分发给所有依赖方;
如果你没有选择从属 CA,则需要重新签名全部最终实体证书也是如此。
1重新签名意味着证书只是由 CA 重新签名。唯一会改变的属性是签名,以及可选的颁发/到期日期。
2重新密钥意味着为证书生成新的密钥对,并且证书由 CA 重新签名。除了公钥以及可选的颁发/到期日期之外,其他任何属性都不会改变。