у нас есть автономный внутренний корневой ЦС, который выдает сертификат для нашего домена mycompany.com. У нас есть несколько сертификатов, установленных по всей компании из этого центра сертификации. Проблема, с которой мы сталкиваемся, заключается в том, что у нас есть cisco VPN, которая должна доверять этому ЦС для VPN для мобильных устройств, но возвращать ошибку, поскольку срок действия корневого ЦС выходит за пределы 2038 года и не принимает ее. Теперь вопрос в том, как это обойти? Если я обновлю корневой ЦС с тем же закрытым / открытым ключом и датой истечения срока действия до 2038 года, нужно ли мне обновлять сертификат, уже выпущенный этим ЦС? Второй вариант, который мы рассматриваем, - это установить подчиненный выдающий ЦС. В этом случае вопрос в том, сможет ли этот ЦС выдать сертификат для доменного имени mycompany.com? Приветствуются любые предложения о том, как выбраться из этого беспорядка от эксперта по PKI.
Что касается вашего первого ответа, мне всегда это интересно. Я бы проверил этот очень специфический сценарий в вашей лаборатории! Думаю, можно будет обновить сертификат с теми же ключами, но с другим сроком действия.
Что касается выдающего (онлайн) CA. Ваш cisco VPN должен проверить цепочку доверия до корневого ЦС, а затем снова пожаловаться на срок действия корневого ЦС.
Таким образом, вам нужно либо обновить корневой ЦС с теми же ключами и более коротким сроком действия, либо вам нужно настроить второй ЦС.