5.4. 续订证书


本节讨论如何续订证书。有关如何设置证书续订的详情,请参考 第 3.4 节 “配置配置集以启用续订”
续订证书包括使用与原始证书相同的目的重新生成证书。通常,有两种类型的续订:
  • 相同的密钥续订 取证书的原始密钥、配置集和请求,并使用相同密钥重新创建具有新有效期和过期日期的新证书。这可以通过以下任一方法完成:
    • 通过原始配置文件重新提交原始证书请求(CSR),或者
    • 使用 certutil 等支持工具使用原始密钥重新生成 CSR
  • 重新加密证书需要使用相同的信息重新生成证书请求,以便生成新的密钥对。然后,CSR 通过原始配置集提交。

5.4.1. 相同的密钥续订

5.4.1.1. 重新使用 CSR

最终实体门户上有三种用于同一密钥续订的批准方法。
  • agent-approved 方法需要提交要续订的证书的序列号;此方法需要 CA 代理的批准。
  • 基于目录的续订需要提交要续订的证书的序列号,并且 CA 从其当前证书目录条目中提取信息。如果 ldap uid/pwd 成功验证,则会自动批准该证书。
  • 基于证书的续订使用浏览器数据库中的证书进行身份验证,并使用相同的证书重新发布。
5.4.1.1.1. agent-Approved 或基于目录的续订
有时,证书续订请求必须手动批准,可以是 CA 代理或为用户目录提供登录信息。
  1. 打开签发证书的 CA 的最终服务页面(或克隆)。
    https://server.example.com:8443/ca/ee/ca
  2. 单击要使用的续订表单的名称。
  3. 输入要续订的证书的序列号。这可以采用十进制形式或十六进制形式。
  4. 点续订按钮。
  5. 请求已提交。对于基于目录的续订,会自动返回更新的证书。否则,续订请求将由代理批准。
5.4.1.1.2. 基于证书的续订
有些用户证书直接存储在您的浏览器中,因此某些续订表单将只检查浏览器证书数据库是否有要续订的证书。如果证书可以被续订,则 CA 会自动批准并重新发布证书。
重要
如果正在续订的证书已经过期,那么它可能无法用于基于证书的续订。浏览器客户端可能会禁止任何使用过期证书的 SSL 客户端身份验证。
在这种情况下,必须使用其它续订方法之一续订证书。
  1. 打开签发证书的 CA 的最终服务页面(或克隆)。
    https://server.example.com:8443/ca/ee/ca
  2. 单击要使用的续订表单的名称。
  3. 没有输入字段,因此点 续订 按钮。
  4. 出现提示时,选择要更新的证书。
  5. 请求被提交,并自动返回更新的证书。

5.4.1.2. 使用同一密钥生成 CSR 续订

有时,原始 CSR 可能不可用。certutil 工具允许一个使用相同的密钥重新生成 CSR,只要密钥对位于 NSS 数据库中。这可以通过执行以下操作来实现:
  1. 在 NSS db 中查找对应的密钥 ID:
    Certutil -d <nssdb dir> -K
  2. 使用特定密钥生成 CSR:
    Certutil -d <nssdb dir> -R -k <key id> -s <subject DN> -o <CSR output file>
或者,如果密钥与 NSS db 中的证书关联,也可以使用 keyid
  • 使用现有 nickname 生成 CSR:
    Certutil -d <nssdb dir> -R -k <nickname> -s <subject DN> -o <CSR output file>

5.4.2. 通过密钥证书续订

因为 重新密钥 续订基本上会生成一个与旧证书相同的信息的新 CSR,只需遵循 第 5.2 节 “创建证书签名请求” 中描述的任何一种方法。请注意,输入与旧证书相同的信息。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.