当导入数字签名证书的CSR响应时，会立即替换原来的证书吗？

Question

PingFederate 7.3我们有即将过期的数字签名证书。因此，我们在数字签名证书->证书签名下从PingFederate生成了CSR，从该特定证书签名。

我们已经提交了第三方CA的CSR来申请证书。CA已使用.p7b文件进行响应。

因此，现在我们返回Ping Federate，单击数字签名证书下的证书，从该特定证书进行->证书签名。这次我们选择了import CSR。

问:导入CSR后，完成并保存。它会立即替换我们用来生成CSR和导入的当前证书吗？我已经阅读了管理手册(但它没有提到这一部分，在证书管理数字签名证书部分)。

因为我们需要先将此证书发送给SP连接伙伴，然后才能替换它。

提前谢谢。

Answer 1

是-它会立即更新当前的签名证书。您应该在上传CSR之前共享新的公钥。

如果不使用“锚定”信任模型，则具有完整联盟/SSO应用程序的大多数联盟伙伴都可以支持当前/将来的证书。这样，他们就可以在不中断连接的情况下加载您的新证书。

相当坦率地说，对于签名，我通常建议使用长生命周期的自签名证书...大概10-20年。仅当标准更改或私钥泄露时，才需要替换它。你用它来签名，而不是加密。