5.5. 续订证书
本节讨论如何更新证书。有关如何设置证书续订的详情请参考 第 3.4 节 “配置配置集以启用续订”。
续订证书包括重新生成证书,其属性与原始证书相同。通常,有两个类型的续订:
- 相同的密钥续订 是原始密钥、配置文件和请求证书,并使用相同密钥重新创建具有新有效期期限和到期日期的新证书。这可以通过以下任一方法完成:
- 通过原始配置集(CSR)重新提交原始证书请求(CSR),或者
- 使用支持工具(如 certutil)使用原始密钥重新生成 CSR
- 重新标记证书需要使用相同的信息重新生成证书请求,以便生成新的密钥对。然后,CSR 通过原始配置集提交。
5.5.1. 相同的密钥续订
5.5.1.1. 重新使用 CSR
在终端实体门户上,有三种批准方法可以进行相同的密钥续订。
- agent-approved 方法需要提交要续订的证书的序列号;此方法需要 CA 代理的批准。
- 基于目录的续订需要提交要续订的证书的序列号,并且 CA 从其当前证书目录条目中提取信息。如果 ldap uid/pwd 已被成功进行身份验证,则证书会被自动批准。
- 基于证书的续订使用浏览器数据库中的证书进行身份验证,并具有重新发布相同的证书。
5.5.1.1.1. 代理(Approved)或基于目录的续订
有时,必须手动批准证书续订请求,可以是 CA 代理,或者提供用户目录的登录信息。
- 打开发布证书的 CA 的端点服务页面(或其克隆)。
http
s://server.example.com:8443/ca/ee/ca - 单击要使用的续订表单的名称。
- 输入要续订的证书的序列号。这可以采用十进制或十六进制格式。
- 点续订按钮。
- 请求已提交。对于基于目录的续订,更新的证书将自动返回。否则,代理将批准续订请求。
5.5.1.1.2. 基于证书的续订
有些用户证书直接存储在浏览器中,因此一些续订表单只需检查浏览器证书数据库来进行续订。如果可以续订证书,则 CA 会自动批准并重新发布证书。
重要
如果被续订的证书 已经 到期,则可能就无法用于基于证书的续订。浏览器客户端可能会禁止任何带有过期证书的 SSL 客户端身份验证。
在这种情况下,必须使用其它续订方法之一续订证书。
- 打开发布证书的 CA 的端点服务页面(或其克隆)。
http
s://server.example.com:8443/ca/ee/ca - 单击要使用的续订表单的名称。
- 没有输入字段,因此点击 按钮。
- 提示时,选择要续订的证书。
- 请求将被提交,并且会自动返回更新的证书。
5.5.1.2. 通过使用相同密钥生成 CSR 续订
有时,原始 CSR 可能不可用。
certutil 工具允许一个使用相同键重新生成 CSR,只要该密钥对位于 NSS 数据库中。这可以通过执行以下操作来实现:
- 在 NSS db 中找到对应的密钥 id:
Certutil -d <nssdb dir> -K
- 使用特定密钥生成 CSR:
Certutil -d <nssdb dir> -R -k <key id> -s <subject DN> -o <CSR output file>
或者,如果一个密钥 与 NSS db 中的证书相关联,则可使用 nickname :
- 使用现有 nickname 生成 CSR:
Certutil -d <nssdb dir> -R -k <nickname> -s <subject DN> -o <CSR output file>
