更新企业CA证书

Question

我刚刚更新了根CA证书，并且有问题更新了我的企业CA证书。我的设置是根CA与联机颁发CA服务器脱机。当我进行更新时，任何事情都不会发生，并在事件日志中得到以下内容

企业CA的CA证书链中的证书已过期。当根据当前系统时钟或签名文件中的时间戳进行验证时，所需证书不在其有效期内。0x800b0101 (-2146762495 CERT_E_EXPIRED)。

用于xxxx企业CA的CA证书0链中的证书已过期。当根据当前系统时钟或签名文件中的时间戳进行验证时，所需证书不在其有效期内。0x800b0101 (-2146762495 CERT_E_EXPIRED)。

我正在用相同的私钥和公钥更新，是否需要更改帮助，或者是否需要先删除过期的证书。

证书0&1已被批准，2证书很快就要出气了。

Answer 1

首先，永远不要用相同的密钥对更新CA。始终用新的密钥对进行更新。这就消除了模棱两可的链的问题。

如果我正确理解，您有脱机根CA和企业从属CA。当您在下属上更新CA证书时，视觉上不会发生任何事情，因为整个过程都是手动的。

一旦您在Enterprise上选择了Renew CA certificate，就会生成一个请求文件(通常放在系统驱动器的根中)。您必须打开您的根CA，将此请求提交给根CA并批准它(您的根CA将在等待审核和手动批准的请求中放置请求)。一旦发出，您必须将签名的从属CA证书从根复制回Sub CA。在Sub CA上，在提升的命令提示符下运行：

certutil -installCert
net stop certsvc && net start certsvc

确保更新的根和从属CA证书和CRL被复制到定义的分发点。