5.4. 续订证书
本节讨论如何续订证书。有关如何设置证书续订的详情,请参考 第 3.4 节 “配置配置集以启用续订”。
续订证书包括使用与原始证书相同的目的重新生成证书。通常,有两种类型的续订:
- 相同的密钥续订 取证书的原始密钥、配置集和请求,并使用相同密钥重新创建具有新有效期和过期日期的新证书。这可以通过以下任一方法完成:
- 通过原始配置文件重新提交原始证书请求(CSR),或者
- 使用 certutil 等支持工具使用原始密钥重新生成 CSR
- 重新加密证书需要使用相同的信息重新生成证书请求,以便生成新的密钥对。然后,CSR 通过原始配置集提交。
5.4.1. 相同的密钥续订
5.4.1.1. 重新使用 CSR
最终实体门户上有三种用于同一密钥续订的批准方法。
- agent-approved 方法需要提交要续订的证书的序列号;此方法需要 CA 代理的批准。
- 基于目录的续订需要提交要续订的证书的序列号,并且 CA 从其当前证书目录条目中提取信息。如果 ldap uid/pwd 成功验证,则会自动批准该证书。
- 基于证书的续订使用浏览器数据库中的证书进行身份验证,并使用相同的证书重新发布。
5.4.1.1.1. agent-Approved 或基于目录的续订
有时,证书续订请求必须手动批准,可以是 CA 代理或为用户目录提供登录信息。
- 打开签发证书的 CA 的最终服务页面(或克隆)。
http
s://server.example.com:8443/ca/ee/ca - 单击要使用的续订表单的名称。
- 输入要续订的证书的序列号。这可以采用十进制形式或十六进制形式。
- 点续订按钮。
- 请求已提交。对于基于目录的续订,会自动返回更新的证书。否则,续订请求将由代理批准。
5.4.1.1.2. 基于证书的续订
有些用户证书直接存储在您的浏览器中,因此某些续订表单将只检查浏览器证书数据库是否有要续订的证书。如果证书可以被续订,则 CA 会自动批准并重新发布证书。
重要
如果正在续订的证书已经过期,那么它可能无法用于基于证书的续订。浏览器客户端可能会禁止任何使用过期证书的 SSL 客户端身份验证。
在这种情况下,必须使用其它续订方法之一续订证书。
- 打开签发证书的 CA 的最终服务页面(或克隆)。
http
s://server.example.com:8443/ca/ee/ca - 单击要使用的续订表单的名称。
- 没有输入字段,因此点 按钮。
- 出现提示时,选择要更新的证书。
- 请求被提交,并自动返回更新的证书。
5.4.1.2. 使用同一密钥生成 CSR 续订
有时,原始 CSR 可能不可用。
certutil 工具允许一个使用相同的密钥重新生成 CSR,只要密钥对位于 NSS 数据库中。这可以通过执行以下操作来实现:
- 在 NSS db 中查找对应的密钥 ID:
Certutil -d <nssdb dir> -K
- 使用特定密钥生成 CSR:
Certutil -d <nssdb dir> -R -k <key id> -s <subject DN> -o <CSR output file>
或者,如果密钥与 NSS db 中的证书关联,也可以使用 keyid :
- 使用现有 nickname 生成 CSR:
Certutil -d <nssdb dir> -R -k <nickname> -s <subject DN> -o <CSR output file>
5.4.2. 通过密钥证书续订
因为 重新密钥 续订基本上会生成一个与旧证书相同的信息的新 CSR,只需遵循 第 5.2 节 “创建证书签名请求” 中描述的任何一种方法。请注意,输入与旧证书相同的信息。
