如何续订 Microsoft SubCA?
How to renew Microsoft SubCA?
有两个独立的 CA 虚拟机 (Windows Server 2012):
- 根CA
- SubCA - created/signed 由 RootCA
RootCA 已关闭且离线(无网络连接)。
如何续订 Microsoft SubCA?
SubCA 现在有效期超过一年,但我们要提前计划。
根和子 CA 未连接到 Windows 域,它不用于 Active Directory。
SubCA 用于为内部服务器生成 SSL 证书 - Apache、Nginx、IIS 等
RootCA 和 SubCA 证书在 Windows 和 Linux 台机器(服务器和工作站)上受信任。
续订后是否需要将新续订的SubCA证书添加为受信任?或者它已经被信任,但现在只是更新?
更新的 SubCA 将受到信任,因为它将由已经受信任的 RootCA 签名 - 这就是 PKI 的工作方式。
切勿将新的 SubCA 证书添加到您的信任库中,因为它不能明确 受信任。它只是 隐式 受信任,因为它颁发的 CA(在本例中为根)是受信任的。请记住,如果您要将它添加到信任库中,并且您随后确定 SubCA 已被破坏并因此需要撤销,您将必须手动将其从所有信任库中删除 - 一个费力的过程。
相反,当您下次续订他们的最终实体证书时,您将需要向所有订阅者提供这个新的 SubCA 证书,以便他们在依赖方连接时提供正确的链(根据 TLS 协议的要求)。
在 Windows 世界中,您可以将它添加到中间 CA 存储(不是根 CA 存储,记住!)以便服务器在子 CA 更新其最终实体证书时可以使用它. Windows 将确定在续订终端实体证书时发送哪个 CA 证书。
在非 Windows 世界中,您必须阅读应用程序的文档以确定应该安装 CA 证书的位置。通常,它们会附加到包含最终实体证书的文件中,但它可能会有所不同 - 因此请检查。
有两个独立的 CA 虚拟机 (Windows Server 2012):
- 根CA
- SubCA - created/signed 由 RootCA
RootCA 已关闭且离线(无网络连接)。
如何续订 Microsoft SubCA?
SubCA 现在有效期超过一年,但我们要提前计划。 根和子 CA 未连接到 Windows 域,它不用于 Active Directory。 SubCA 用于为内部服务器生成 SSL 证书 - Apache、Nginx、IIS 等
RootCA 和 SubCA 证书在 Windows 和 Linux 台机器(服务器和工作站)上受信任。
续订后是否需要将新续订的SubCA证书添加为受信任?或者它已经被信任,但现在只是更新?
更新的 SubCA 将受到信任,因为它将由已经受信任的 RootCA 签名 - 这就是 PKI 的工作方式。
切勿将新的 SubCA 证书添加到您的信任库中,因为它不能明确 受信任。它只是 隐式 受信任,因为它颁发的 CA(在本例中为根)是受信任的。请记住,如果您要将它添加到信任库中,并且您随后确定 SubCA 已被破坏并因此需要撤销,您将必须手动将其从所有信任库中删除 - 一个费力的过程。
相反,当您下次续订他们的最终实体证书时,您将需要向所有订阅者提供这个新的 SubCA 证书,以便他们在依赖方连接时提供正确的链(根据 TLS 协议的要求)。
在 Windows 世界中,您可以将它添加到中间 CA 存储(不是根 CA 存储,记住!)以便服务器在子 CA 更新其最终实体证书时可以使用它. Windows 将确定在续订终端实体证书时发送哪个 CA 证书。
在非 Windows 世界中,您必须阅读应用程序的文档以确定应该安装 CA 证书的位置。通常,它们会附加到包含最终实体证书的文件中,但它可能会有所不同 - 因此请检查。