Когда срок действия центра сертификации истекает, исчезнет ли он навсегда? Есть ли способ его продлить? Или мне просто создать новый сертификат? Я действительно не хочу создавать новый, потому что этому центру сертификации уже доверяют многие наши клиенты. Я имею дело с устаревшим беспорядком и только что обнаружил, что срок действия нашего CA истекает в 2015 году.
Спасибо!
В оснастке MMC центра сертификации (certsrv.msc
), если вы щелкните правой кнопкой мыши объект сервера, в разделе «Все задачи» есть возможность обновить сертификат.
Редактировать: Однозначно только что понял, что вы не указали, какой тип ЦС. Ясно, что сегодня я слишком много работал с Windows. Если необходимо (или для полноты, если нет), вот процедура через OpenSSL:
openssl req -new -key oldrootca.key -out newcsr.csr
openssl x509 -req -days 3650 -in newcsr.csr -signkey oldrootca.key -out newcrt.crt
Срок действия многих хорошо известных доверенных корневых центров сертификации составляет 20 или 30 лет или более. Тенденция состоит в том, чтобы располагать подчиненные ЦС ниже них, которые работают под доверием корневого ЦС. Корневой ЦС можно отключить и не использовать для каких-либо сертификатов конечных пользователей. Если подчиненный ЦС скомпрометирован, его можно заменить, не затрагивая сертификат доверенного корневого ЦС.
Другой аспект заключается в том, что в оптимистичном сценарии должен существовать некоторый автоматизированный способ управления и замены сертификатов до истечения срока их действия. Для этого есть коммерческие приложения, а некоторые разрабатывают свои собственные. Без этого процесс требует больших административных усилий и подвержен ошибкам. Компонент предприятия может отключиться, если срок действия сертификата истечет до его замены.
Вы можете обновить корневой ЦС, но если у клиентов нет упорядоченного способа обновить этот сертификат, могут возникнуть проблемы. Если вы создаете новый корневой ЦС, вы можете выполнить этот переход независимо от существующего сертификата корневого ЦС, не влияя на существующие операции.