证书颁发机构到期
当证书颁发机构到期时,它会永远消失吗?有没有办法更新它?或者我应该只生成一个新证书?我真的不想创建一个新的,因为我们的许多客户已经信任这个证书颁发机构。我正在处理遗留问题,刚刚发现我们的 CA 将于 2015 年到期。
谢谢!
在证书颁发机构 MMC 管理单元 ( certsrv.msc) 中,如果右键单击服务器对象,则在“所有任务”下有一个更新证书的选项。
编辑: 绝对刚刚意识到您没有指定哪种类型的 CA。显然,我今天处理的 Windows 太多了。如果需要(或为了完整性,如果不需要),这里是通过 OpenSSL 的过程:
openssl req -new -key oldrootca.key -out newcsr.csr
openssl x509 -req -days 3650 -in newcsr.csr -signkey oldrootca.key -out newcrt.crt
许多著名的受信任根 CA 的有效期为 20 或 30 年或更长时间。趋势是在这些下面建立从属 CA,它们在根 CA 的信任下运行。根 CA 可以脱机,不用于任何最终用户证书。如果从属 CA 受到威胁,可以在不影响受信任的根 CA 证书的情况下替换它。
另一个方面是,在乐观的情况下,应该有一些在到期前管理和替换证书的自动化方法。有这方面的商业应用,有些人自己开发。否则,该过程需要大量的管理工作,并且容易出错。如果证书在替换之前过期,则企业的某个组件可能会关闭。
您可以续订根 CA,但如果客户端没有有序的方式来更新此证书,则可能会出现问题。如果您创建新的根 CA,您可以独立于现有根 CA 证书执行此转换,而不会影响现有操作。
| 归档时间: |
|
| 查看次数: |
4909 次 |
| 最近记录: |