我正在寻找有关如何在 EJBCA 中成功续订 CA 的明确答案。我们已经拥有由 EJBCA 颁发的数千个客户端证书,EJBCA 实际上充当由外部 CA 签名的子 CA。该过程确实记录在此处https://www.ejbca.org/docs/Renewing_a_SubCA_Signed_by_an_External_CA.html,但它没有明确说明已颁发的客户端证书会发生什么。它们会继续通过新 CA 成功验证吗?
该链接提供了两个更新密钥的选项:
如果您参考 RFC 3647,这是续订的正确定义。 在这种情况下,密钥保持不变并且证书主题保持不变。 实际上,新证书与旧证书相同,尽管日期不同。
依赖方将像信任原始证书一样信任此证书。
正确的术语是“重新密钥”。 调变了,主题保持不变。 对于任何依赖方而言,该证书都是不同的证书。 这可能意味着您需要做更多的工作。 您首先需要确定原始 CA 证书会发生什么情况。 会过期或被撤销,还是仍然有效?
如果要停用,您需要替换该原始 CA 证书颁发的所有证书,因为它们只会通过原始 CA 进行验证。
如果没有,并且您因其他原因重新生成密钥,例如原始 CA 证书的 CRL 太大而无法管理,则无需急于更换所有订户证书。旧的 CA 证书仍将验证这些证书,而新 CA 证书颁发的订户证书将由新的 CA 证书验证。
而且花了很长时间没有回复。
有什么想法吗?