14.3.2.3. 续订管理员、代理和审核员用户证书
更新证书的方法有两种。重新生成证书 会提取其原始密钥及其原始配置集并请求,并重新创建相同的密钥,其中包含新的有效期期限和过期日期。重新打包 证书,重新提交到原始配置集的初始证书请求,但生成新的密钥对。管理员可以通过重新密钥来续订管理员证书。
每个子系统都有一个 bootstrap 用户,可在创建子系统时创建。通过使用默认续订配置集之一,可以为此用户请求一个新证书。
管理员用户的证书可以在最终用户注册表单中直接续订,使用原始证书的序列号。
- 在 CA 的最终用户表单中续订 admin 用户证书,如 第 5.5.1.1.2 节 “基于证书的续订” 所述。这必须与第一次签发证书(或它的克隆)相同。可使用末尾实体页面中基于证书的续订表格来续订代理证书。自助服务 SSL 客户端证书.此表单可识别和更新保存在浏览器的证书存储中直接存储的证书。注意
- 将更新的用户证书添加到内部 LDAP 数据库中的用户条目。
- 打开子系统的控制台。
pkiconsole https://server.example.com:admin_port/subsystem_type
- 配置 | 用户和组群 | 用户 | 管理 | 证书 | 导入
- 在 Configuration 选项卡中,选择" 用户和组 "。
- 在 Users 选项卡中,使用更新的证书双击用户条目,然后单击 。
- 单击,并粘贴到 base-64 编码证书中。
这可以通过使用 ldapmodify 将更新的认证直接添加到内部 LDAP 数据库中的用户条目,方法是替换用户条目中的userCertificate
属性,如 uid=admin,ou=body,dc=subsystem -base-DN。