Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.4. 配置配置集以启用续订

本节讨论如何为证书续订设置配置文件。

续订证书使用与原始证书相同的公钥重新生成证书。续订证书可能最好只生成新密钥并安装新证书。例如,如果创建了新的 CA 签名证书,则必须重新发布 CA 发布和签名的证书。如果 CA 签名证书被续订,则所有发布的证书仍有效。续订的证书与原始证书相同,仅具有更新的有效期和到期日期。这使得续订证书成为一个更简单且干净的选项,用于处理许多证书过期,特别是 CA 签名证书。

有关如何更新证书的详情,请参考 第 5.4 节 “续订证书”

3.4.1. 续订过程
复制链接

有两种方法可以续订证书:

  • 重新生成证书获取证书的原始密钥、配置集和请求,并使用相同的密钥重新创建带有新有效期周期和过期日期的新证书。
  • 使用相同信息,通过原始配置文件重新密钥证书请求提交证书请求,以便生成新密钥对。

允许续订的配置集通常由 renewGracePeriodConstraint 条目决定。例如: 

policyset.cmcUserCertSet.10.constraint.class_id=renewGracePeriodConstraintImpl
policyset.cmcUserCertSet.10.constraint.name=Renewal Grace Period Constraint
policyset.cmcUserCertSet.10.constraint.params.renewal.graceBefore=30
policyset.cmcUserCertSet.10.constraint.params.renewal.graceAfter=30
policyset.cmcUserCertSet.10.default.class_id=noDefaultImpl
policyset.cmcUserCertSet.10.default.name=No Default
Copy to Clipboard Toggle word wrap
注意

应在原始注册配置文件中设置 Renew Grace Period Constraint。这定义了在允许用户续订证书时证书过期日期前后的时间长度。在默认配置文件中仅有一些示例,它们主要不默认启用。这个条目不需要;但是,如果没有设置宽限期,则只能在其过期日期更新证书。

3.4.2. 使用相同的密钥续订
复制链接

允许为续订提交同一密钥的配置集,在 uniqueKeyConstraint 条目中将 allowSameKeyRenewal 参数设置为 true。例如: 

policyset.cmcUserCertSet.9.constraint.class_id=uniqueKeyConstraintImpl
policyset.cmcUserCertSet.9.constraint.name=Unique Key Constraint
policyset.cmcUserCertSet.9.constraint.params.allowSameKeyRenewal=true
policyset.cmcUserCertSet.9.default.class_id=noDefaultImpl
policyset.cmcUserCertSet.9.default.name=No Default
Copy to Clipboard Toggle word wrap

3.4.3. 使用新密钥续订
复制链接

要使用新密钥续订证书,请使用带有新密钥的相同配置文件。证书系统使用用户签名证书的 subjectDN,为新证书签名请求。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat