如何更新微软SubCA？

Question

有两个独立的CA虚拟机(Windows 2012)：

• RootCA
• SubCA -由RootCA

创建/签名

RootCA是关闭和脱机的(没有网络连接)。

如何更新微软SubCA？

SubCA的有效期已经超过一年了，但我们要提前计划。根和子CA没有连接到Windows域，因此它不用于。SubCA用于为外部服务器生成SSL证书- Apache、Nginx、IIS等。

RootCA和SubCA证书在Windows和Linux机器(服务器和工作站)上都是可信的。

是否需要在更新后将新更新的SubCA证书添加为受信任的证书？或者它已经被信任了，但现在它只是更新了？

Answer 1

更新后的SubCA将被信任，因为它将由已经被信任的RootCA签署--这就是PKI的工作方式。

不要将新的SubCA证书添加到信任存储中，因为它不能显式地被信任。它仅是隐式可信的，因为它发出CA (本例中的根)是可信的。请记住，如果要将其添加到信任存储中，并且随后决定SubCA已被破坏，因此需要撤销，则必须手动从所有信任存储中删除它--这是一个很费劲的过程。

相反，您需要在下次续订终端实体证书时向所有订阅者提供这个新的SubCA证书，以便它们在依赖方连接时(按照TLS协议的要求)呈现正确的链。

在Windows环境中，您可以将它添加到中间CA存储区(而不是根CA存储区，记住！)这样，当服务器的终端实体证书被Sub CA更新时，服务器就有了它。Windows将确定在续签结束实体证书时要发送哪个CA证书.

在非Windows世界中，您必须阅读应用程序的文档，以确定CA证书应该安装在何处。通常，它们被附加到包含end实体证书的文件中，但是它可能会有所不同--检查也是如此。