红帽全球峰会3.4. 配置配置集以启用续订
本节讨论如何为证书续订设置配置文件。
续订证书使用与原始证书相同的公钥重新生成证书。续订证书可能最好只生成新密钥并安装新证书。例如,如果创建了新的 CA 签名证书,则必须重新发布 CA 发布和签名的证书。如果 CA 签名证书被续订,则所有发布的证书仍有效。续订的证书与原始证书相同,仅具有更新的有效期和到期日期。这使得续订证书成为一个更简单且干净的选项,用于处理许多证书过期,特别是 CA 签名证书。
有关如何更新证书的详情,请参考 第 5.4 节 “续订证书”。
3.4.1. 续订过程
有两种方法可以续订证书:
- 重新生成证书获取证书的原始密钥、配置集和请求,并使用相同的密钥重新创建带有新有效期周期和过期日期的新证书。
- 使用相同信息,通过原始配置文件重新密钥证书请求提交证书请求,以便生成新密钥对。
允许续订的配置集通常由 renewGracePeriodConstraint 条目决定。例如:
policyset.cmcUserCertSet.10.constraint.class_id=renewGracePeriodConstraintImpl policyset.cmcUserCertSet.10.constraint.name=Renewal Grace Period Constraint policyset.cmcUserCertSet.10.constraint.params.renewal.graceBefore=30 policyset.cmcUserCertSet.10.constraint.params.renewal.graceAfter=30 policyset.cmcUserCertSet.10.default.class_id=noDefaultImpl policyset.cmcUserCertSet.10.default.name=No Default
注意
应在原始注册配置文件中设置 Renew Grace Period Constraint。这定义了在允许用户续订证书时证书过期日期前后的时间长度。在默认配置文件中仅有一些示例,它们主要不默认启用。这个条目不需要;但是,如果没有设置宽限期,则只能在其过期日期更新证书。
3.4.2. 使用相同的密钥续订
允许为续订提交同一密钥的配置集,在 uniqueKeyConstraint 条目中将 allowSameKeyRenewal 参数设置为 true。例如:
policyset.cmcUserCertSet.9.constraint.class_id=uniqueKeyConstraintImpl policyset.cmcUserCertSet.9.constraint.name=Unique Key Constraint policyset.cmcUserCertSet.9.constraint.params.allowSameKeyRenewal=true policyset.cmcUserCertSet.9.default.class_id=noDefaultImpl policyset.cmcUserCertSet.9.default.name=No Default
3.4.3. 使用新密钥续订
要使用新密钥续订证书,请使用带有新密钥的相同配置文件。证书系统使用用户签名证书的 subjectDN,为新证书签名请求。
