3.6.4. 允许 CA 证书续订 CA 有效期期
通常,证书无法提供在发出 CA 证书过期后终止的有效周期。如果 CA 证书具有 2015 年 12 月 31 日的过期日期,则其问题的所有证书都必须于 2015 年 12 月 31 日前过期。
这个规则适用于 CA 发布的其他 CA 签名证书,这几乎无法续订 root CA 证书。续订 CA 签名证书意味着它必须在自己的过期日期后具有有效期限。
可以使用 CA Validity Default 更改此行为。此默认设置(bypassCAnotafter)允许发布 CA 证书,具有延长发布 CA 过期时间(未经过后期)的有效周期。
图 3.4. CA 有效期默认配置
在实际部署中,这意味着 root CA 的 CA 证书可以被续订,否则可能会阻止它。
启用 CA 证书续订超过原始 CA 的有效性日期:
- 打开
caCACert.cfg
文件。vim /var/lib/pki/instance_name/ca/conf/caCACert.cfg
- 默认情况下,应存在 CA 有效期默认值。将值设为 true 以允许 CA 证书续订超过发出 CA 的有效性期。
policyset.caCertSet.2.default.name=CA Certificate Validity Default policyset.caCertSet.2.default.params.range=2922 policyset.caCertSet.2.default.params.startTime=0
policyset.caCertSet.2.default.params.bypassCAnotafter=true
- 重启 CA 以应用更改。
当代理检查续订请求时,Extensions/Fields 区域中有一个选项,允许代理选择绕过正常的有效期约束。如果代理选择 false,则约束会被强制使用,即使配置集中设置了 bypassCAnotafter=true。如果没有启用 bypassCAnotafter 值时代理选择 true,则 CA 将拒绝续订请求。
图 3.5. 绕过代理服务页面中的 CA 限制选项
注意
CA 有效期默认仅适用于 CA 签名证书续订。其他证书仍必须在 CA 有效期内发布和更新。
CA( ca.enablePastCATime )的独立配置设置可用于允许在 CA 有效期内续订证书。但是,这适用于该 CA 发布的 每个 证书。由于潜在的安全问题,在生产环境中不建议使用此设置。