У меня есть автономный ЦС, управляемый в Windows Server 2012 R2. Его сертификат имеет DN это включает CN и DC, как в CN=CAName,DC=domain,DC=tld. Этот корневой сертификат нельзя сохранить в firefox, вероятно, из-за того, что в нем отсутствует O и / или OU частей, поэтому я хотел бы изменить корневой сертификат, добавив O=companyname,OU=IT к DN.
Я заметил, что выданные сертификаты имеют "Идентификатор ключа авторизации X509v3", указывающий keyid (им не хватает dirname, serialили любую другую ссылку на ключ CA). Я думаю, это означает, что я могу выпустить новый сертификат, используя тот же закрытый ключ CA, без аннулирования всех выпущенных сертификатов.
Итак, как я могу создать новый сертификат CA, который включает O и OU в его DN?
Спасибо.
Я думаю, это означает, что я могу выпустить новый сертификат, используя тот же закрытый ключ CA, без аннулирования всех выпущенных сертификатов.
к сожалению, нет. Вам нужно будет построить новое дерево CA и PKI и списать текущее, когда все выпущенные сертификаты будут перенесены. Других обходных путей нет.
или любая другая ссылка на ключ CA
они ссылаются на название эмитента в Issuer поле. Итак, если вы измените имя CA, новый сертификат CA с другим Subject Поле не может использоваться для проверки ранее выданных сертификатов, даже если оба сертификата CA используют одну и ту же пару ключей. Так работает механизм цепочки сертификатов при связывании сертификатов в цепочке.