EJBCA更新

Question

我正在寻找一个关于如何在EJBCA中成功地更新CA的明确答案。我们已经有数千个由EJBCA颁发的客户端证书，它实际上是一个由外部CA签名的subCA。这个过程确实在这里记录了CA.html，但是它没有清楚地说明已经颁发的客户端证书会发生什么。它们会继续通过新的CA被成功地验证吗？

Answer 1

该链接为更新密钥提供了两个选项：

1.使用相同的CA签名密钥

如果您引用RFC 3647，这是续约的正确定义。在这种情况下，密钥保持不变，证书主题保持不变。实际上，新证书与旧证书相同，尽管日期不同。

依赖方将以与信任原始证书相同的方式信任该证书。

2.生成新的CA签名密钥

正确的术语是重键。关键的变化和主题保持不变。就依赖方而言，证书是一种不同的证书。这可能意味着你要做更多的工作。

您首先需要确定原始CA证书会发生什么。它是过期还是被撤销，还是仍然有效？

如果它已退役，则需要替换由该原始CA证书颁发的所有证书，因为它们将只通过原始CA进行验证。

如果没有，并且由于其他原因而重新进行密钥，例如原始CA证书的CRL已经变得太大，无法管理，那么就没有必要匆忙替换所有的订阅者证书。旧CA证书仍将验证这些证书，而由新CA证书颁发的订阅者证书将由新CA证书进行验证。