EJBCA CA 更新
EJBCA CA Renewal
我正在寻找关于如何在 EJBCA 中成功续订 CA 的明确答案。我们有数千个由 EJBCA 颁发的客户端证书,它实际上作为由外部 CA 签名的 subCA 工作。这个过程确实记录在这里 https://www.ejbca.org/docs/Renewing_a_SubCA_Signed_by_an_External_CA.html 但它没有明确说明,已经颁发的客户端证书会发生什么。它们会继续通过新 CA 成功验证吗?
link 提供了两个更新密钥的选项:
1。使用相同的 CA 签名密钥
如果您参考 RFC 3647,这是 renewal 的正确定义。在这种情况下,密钥保持不变,证书主题保持不变。实际上,new 证书与 old 证书相同,只是日期不同。
依赖方将像信任原始证书一样信任此证书。
2。生成新的 CA 签名密钥
正确的说法是re-key。密钥发生变化,主题保持不变。就任何依赖方而言,该证书是不同的证书。这对您来说可能意味着更多的工作。
您首先需要确定原始 CA 证书会发生什么情况。它会过期或被撤销,还是仍然有效?
如果它被停用,您将需要替换该原始 CA 证书颁发的所有证书,因为它们将仅通过原始 CA 进行验证。
如果不是,并且您出于其他原因重新键入密钥,例如原始 CA 证书的 CRL 变得太大而无法管理,则无需急于更换所有订户证书。旧 CA 证书仍将验证这些证书,而新 CA 证书颁发的订户证书将由新 CA 证书验证。
我正在寻找关于如何在 EJBCA 中成功续订 CA 的明确答案。我们有数千个由 EJBCA 颁发的客户端证书,它实际上作为由外部 CA 签名的 subCA 工作。这个过程确实记录在这里 https://www.ejbca.org/docs/Renewing_a_SubCA_Signed_by_an_External_CA.html 但它没有明确说明,已经颁发的客户端证书会发生什么。它们会继续通过新 CA 成功验证吗?
link 提供了两个更新密钥的选项:
1。使用相同的 CA 签名密钥
如果您参考 RFC 3647,这是 renewal 的正确定义。在这种情况下,密钥保持不变,证书主题保持不变。实际上,new 证书与 old 证书相同,只是日期不同。
依赖方将像信任原始证书一样信任此证书。
2。生成新的 CA 签名密钥
正确的说法是re-key。密钥发生变化,主题保持不变。就任何依赖方而言,该证书是不同的证书。这对您来说可能意味着更多的工作。
您首先需要确定原始 CA 证书会发生什么情况。它会过期或被撤销,还是仍然有效?
如果它被停用,您将需要替换该原始 CA 证书颁发的所有证书,因为它们将仅通过原始 CA 进行验证。
如果不是,并且您出于其他原因重新键入密钥,例如原始 CA 证书的 CRL 变得太大而无法管理,则无需急于更换所有订户证书。旧 CA 证书仍将验证这些证书,而新 CA 证书颁发的订户证书将由新 CA 证书验证。