更新数字证书

Question

如果我已经在then服务器上部署了一个数字证书，如果它需要更新，那么我需要遵循哪些步骤？我需要生成一个新的更长的公钥私钥对吗？为什么证书首先需要更新？

Answer 1

您不需要生成一个新的密钥，除非您想要生成，或者密钥已经被破坏了(但是希望如果您知道他们的密钥被破坏了，那么您早就已经替换了它)。

大多数CA将允许您重新颁发具有相同主题的证书，只需更新过期日期即可。

Answer 2

首先，您需要遵循与购买证书相同的步骤，包括生成一个新的密钥对(但不一定更长)。

证书过期部分是因为认证公司喜欢常规业务，但主要是因为在终端用户web浏览器中没有撤销受损证书的良好流程，因此，至少在证书上有一个过期日期意味着，如果证书被泄露，就不能无限期地滥用证书。

Answer 3

证书必须更新，因为它有一个到期日期。当证书过期时，客户端将拒绝继续使用它(在Web上下文中，浏览器在这种情况下会显示出可怕的警告)。

因此，问题是:为什么证书中有到期日？从理论上讲，这是一种使撤销列表保持较小的方法。证书撤销列表 (CRL)指定由给定CA颁发的所有证书，这些证书必须不再使用，即使它们“看起来不错”。撤销是指“取消”证书的行为。例如，如果私钥被泄露(被盗)，则合法密钥所有者通知CA，CA随后将证书包括在其定期发布的CRL中，从而使客户端停止接受相应的证书。通过构造，CRL只能增长(就像非弥赛亚人一样，证书死后死掉)，因此设计了一个技巧:过期的证书不需要包含在CRL中(如果证书过期了，客户就不会使用它--他们不需要知道它是否也被撤销了)。这使CRL的大小保持在检查中，因为旧的条目因此被删除。

这就是关于到期日的理论。至于实践，Peter在他的X.509风格指南中提供了以下替代解释：

此字段表示您必须向CA支付续签费以重新颁发证书的时间。

第三种解释是更新允许CA迁移东西。例如，可以下载CRL的URL是写在证书本身中的；如果证书从未过期，则该URL必须是永恒的--对于企业来说，永恒是一种很长的时间。

你选择相信哪种解释，取决于你自己。

至于重建计划的细节，则须视乎核证机关而定。CA在概念上不可能构建与旧证书相同的新证书，但过期日期除外，请签署证书并发送给您。这甚至不需要你采取任何行动。但是，一些CA可能希望从您那里获得更多信息，甚至可能生成一个新的密钥对(就像您获得第一个证书时所做的那样)。如果CA对密钥长度有严格的策略，而旧密钥不再符合该策略，则CA可能需要更长的密钥。理论上，强制使用最小密钥长度并不是CA的职责(客户端应该在每个实例的基础上做出该决定)，但是在实践中CA确实强制执行密钥类型和长度。CA还可能需要一个新的密钥生成，以防他们不需要执行特定的更新操作。