Продление сертификата OpenXPKI

У меня есть компонент управления сертификатами, который позволяет регистрировать / продлевать сертификаты на OPENXPKI. Я использую SCEP для регистрации / продления сертификата.

Компонент получает CSR в качестве входных данных, подписывает CSR с помощью подписывающего лица от имени / доверенного сертификата, а затем получает его подписание от целевого CA. Это нормально работает.

Но когда я пытаюсь обновить сертификат, используя тот же CSR, CA возвращает существующий сертификат, вместо того, чтобы обновлять сертификат с новым сроком действия.

Если я создам новый CSR с тем же идентификатором субъекта, используя новую пару ключей, обновляю сертификат. Это означает, что CSR должен быть создан с новой парой ключей, чтобы обновить его на OPENXPKI.

Я застрял, поскольку не могу изменить свой ввод, который, по сути, является той же CSR, которая использовалась для регистрации. Может ли кто-нибудь предложить мне какой-либо рабочий процесс / конфигурацию, которые могут позволить мне обновить сертификат с тем же CSR на OPENXPKI?