3.6.4. 允许 CA 证书续订 CA 有效期期


通常,证书无法提供在发出 CA 证书过期后终止的有效周期。如果 CA 证书具有 2015 年 12 月 31 日的过期日期,则其问题的所有证书都必须于 2015 年 12 月 31 日前过期。
这个规则适用于 CA 发布的其他 CA 签名证书,这几乎无法续订 root CA 证书。续订 CA 签名证书意味着它必须在自己的过期日期后具有有效期限。
可以使用 CA Validity Default 更改此行为。此默认设置(bypassCAnotafter)允许发布 CA 证书,具有延长发布 CA 过期时间(未经过后期)的有效周期。

图 3.4. CA 有效期默认配置

CA 有效期默认配置
在实际部署中,这意味着 root CA 的 CA 证书可以被续订,否则可能会阻止它。
启用 CA 证书续订超过原始 CA 的有效性日期:
  1. 打开 caCACert.cfg 文件。
    vim /var/lib/pki/instance_name/ca/conf/caCACert.cfg
  2. 默认情况下,应存在 CA 有效期默认值。将值设为 true 以允许 CA 证书续订超过发出 CA 的有效性期。
    policyset.caCertSet.2.default.name=CA Certificate Validity Default
    policyset.caCertSet.2.default.params.range=2922
    policyset.caCertSet.2.default.params.startTime=0
    policyset.caCertSet.2.default.params.bypassCAnotafter=true
  3. 重启 CA 以应用更改。
当代理检查续订请求时,Extensions/Fields 区域中有一个选项,允许代理选择绕过正常的有效期约束。如果代理选择 false,则约束会被强制使用,即使配置集中设置了 bypassCAnotafter=true。如果没有启用 bypassCAnotafter 值时代理选择 true,则 CA 将拒绝续订请求。

图 3.5. 绕过代理服务页面中的 CA 限制选项

绕过代理服务页面中的 CA 限制选项
注意
CA 有效期默认仅适用于 CA 签名证书续订。其他证书仍必须在 CA 有效期内发布和更新。
CA( ca.enablePastCATime )的独立配置设置可用于允许在 CA 有效期内续订证书。但是,这适用于该 CA 发布的 每个 证书。由于潜在的安全问题,在生产环境中不建议使用此设置。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.