EJBCA CA Обновление
Я смотрю на четкий ответ о том, как успешно обновить CA в EJBCA. У нас уже есть тысячи клиентских сертификатов, выданных EJBCA, который фактически работает как subCA, подписанный внешним CA. Этот процесс действительно задокументирован здесь https://www.ejbca.org/docs/Renewing_a_SubCA_Signed_by_an_External_CA.html но в нем четко не указано, что произойдет с уже выпущенными клиентскими сертификатами. Будут ли они успешно проходить валидацию с помощью нового ЦС?
1 ответ
Эта ссылка дает два варианта обновления ключа:
1. Используя тот же ключ подписи CA
Если вы ссылаетесь на RFC 3647, это правильное определение продления. В этом случае ключи остаются прежними, а тема сертификата остается прежней. По сути, новый сертификат такой же, как старый, хотя и с разными датами.
Проверяющие стороны будут доверять этому сертификату так же, как доверяли оригиналу.
2. Создание новых ключей подписи CA
Правильный термин для этого - ключ. Ключ меняется, и тема остается прежней. Сертификат является другим сертификатом в отношении любых доверяющих сторон. Это может означать больше работы для вас.
Сначала вам необходимо выяснить, что произойдет с исходным сертификатом CA. Это истечет или будет отменено, или все еще будет в силе?
Если он удаляется, вам необходимо заменить все сертификаты, выданные этим оригинальным сертификатом CA, поскольку они будут проверяться только через оригинальный CA.
Если нет, и вы перепрофилируете по другим причинам, например, CRL исходного сертификата CA стал слишком большим для управления, тогда нет необходимости торопиться с заменой всех ваших сертификатов подписчика. Старый сертификат CA будет по-прежнему проверять эти сертификаты, в то время как сертификаты подписчиков, выданные новым сертификатом CA, будут проверяться новым сертификатом CA.