13.2. 续订子系统证书

有关续订子系统证书的详情，请参考第 3.4.1 节 “续订过程”。

更新子系统证书的过程与续订用户证书的过程相同。

要续订系统证书，请在使用 HttpClient 实用程序时使用对应的注册配置文件提交请求。有关不同系统证书配置文件的详情，请参考第 5.3.2.1 节 “获取系统和服务器证书”。

13.2.1. 使用 certutil续订证书
复制链接

certutil 可用于在证书数据库中使用现有密钥对生成证书请求。然后，可以通过常规配置文件页面提交新证书请求，以便 CA 发布更新的证书。

注意

加密和签名证书在单个步骤中创建。但是，续订过程一次只能续订一个证书。

要续订证书对中的这两个证书，必须单独续订每个证书。

获取令牌数据库的密码。

cat /var/lib/pki/instance_name/conf/password.conf

internal=263163888660

# cat /var/lib/pki/instance_name/conf/password.conf

internal=263163888660

Copy to Clipboard

Toggle word wrap

打开要续订证书的实例的证书数据库目录。
```
cd /var/lib/pki/instance_name/alias
```
```
# cd /var/lib/pki/instance_name/alias
```
Copy to Clipboard Toggle word wrap

列出要更新的证书的密钥和 nickname。要续订证书，用于生成的密钥对以及提供给新证书的主题名称必须与旧证书中的密钥对相同。

certutil -K -d .

# certutil -K -d .

certutil: Checking token "NSS Certificate DB" in slot "NSS User Private Key and Certificate Services"
Enter Password or Pin for "NSS Certificate DB":
< 0> rsa      69481646e38a6154dc105960aa24ccf61309d37d   caSigningCert cert-pki-tomcat CA

Copy to Clipboard

Toggle word wrap

将 别名 目录复制为备份，然后从证书数据库中删除原始证书。例如：
```
certutil -D -n "ServerCert cert-example" -d .
```
```
# certutil -D -n "ServerCert cert-example" -d .
```
Copy to Clipboard Toggle word wrap
运行 certutil 命令，并将选项设置为现有证书中的值。
```
certutil -d . -R -n "NSS Certificate DB:cert-pki-tomcat CA" -s "cn=CA Authority,o=Example Domain" -a -o example.req2.txt
```
```
# certutil -d . -R -n "NSS Certificate DB:cert-pki-tomcat CA" -s "cn=CA Authority,o=Example Domain" -a -o example.req2.txt
```
Copy to Clipboard Toggle word wrap
生成新证书和密钥对和续订证书之间的差别是证书的值。要生成完全新的请求和密钥对，那么 -k 会设置密钥类型，并与 -g 一起使用，这会设置位长度。对于续订请求，-n 选项使用证书 nickname 来访问存储在安全数据库中的现有密钥对。
有关参数的详情，请查看 certutil (1) 手册页。
提交证书请求，然后检索证书请求并安装它，如第 5.3 节 “使用 CMC 请求和接收证书” 所述。

13.2.2. 续订过期的证书系统服务器证书
复制链接

在 PKI 服务器运行时，证书系统不会自动在线续订其服务器证书。通常，管理员应在系统证书过期前续订系统证书。但是，如果系统证书过期，证书系统将无法启动。

要在过期后续订系统证书，您可以设置临时服务器证书：

如果系统证书已过期：
1. 创建临时证书：
  # pki-server cert-create sslserver --temp
  Copy to Clipboard Toggle word wrap
2. 将临时证书导入到证书系统的网络安全服务(NSS)数据库中：
  # pki-server cert-import sslserver
  Copy to Clipboard Toggle word wrap
3. 启动证书系统：
  # pki-server start instance_name
  Copy to Clipboard Toggle word wrap
显示证书并记录过期的系统证书的 ID：
```
pki-server cert-find
```
```
# pki-server cert-find
```
Copy to Clipboard Toggle word wrap
创建新的持久证书：
```
pki-server cert-create certificate_ID
```
```
# pki-server cert-create certificate_ID
```
Copy to Clipboard Toggle word wrap
停止证书系统：
```
pki-server stop instance_name
```
```
# pki-server stop instance_name
```
Copy to Clipboard Toggle word wrap
导入新证书来替换过期的证书：
```
pki-server cert-import certificate_ID
```
```
# pki-server cert-import certificate_ID
```
Copy to Clipboard Toggle word wrap
启动证书系统：
```
pki-server start instance_name
```
```
# pki-server start instance_name
```
Copy to Clipboard Toggle word wrap

返回顶部

13.2. 续订子系统证书

13.2.1. 使用 certutil续订证书
复制链接

13.2.2. 续订过期的证书系统服务器证书
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

13.2. 续订子系统证书

13.2.1. 使用 certutil续订证书复制链接链接已复制到粘贴板!

13.2.2. 续订过期的证书系统服务器证书复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

13.2.1. 使用 certutil续订证书
复制链接

13.2.2. 续订过期的证书系统服务器证书
复制链接