我有一个使用了几年的自签名 CA。这些天我为我们的 LAN 签署/颁发的证书现在由于“弱密钥”而在 Chrome 中收到警告。openssl 是否有一种直接的方法来替换或升级根 CA 密钥以使用更强的加密来避免签名证书上的“不安全”Chrome 标识?
AskOverflow.Dev
我有一个使用了几年的自签名 CA。这些天我为我们的 LAN 签署/颁发的证书现在由于“弱密钥”而在 Chrome 中收到警告。openssl 是否有一种直接的方法来替换或升级根 CA 密钥以使用更强的加密来避免签名证书上的“不安全”Chrome 标识?
不幸的是,升级根 CA 密钥的唯一方法是用更新的、更强大的密钥对替换它,然后用新的密钥对自签名新的根 CA 证书。
接下来的步骤取决于您是否决定在 PKI 设计中使用从属 CA。
如果您没有选择从属 CA,您将需要使用这个新的根 CA 重新签署1 所有终端实体证书,并且订阅者必须配置他们的服务/应用程序以在其链中展示他们新签署的终端实体证书。
如果您确实选择了从属 CA,您将需要使用这个新的根 CA 重新签署从属 CA。然后,您必须将重新签名的从属 CA 证书提供给必须配置其服务/应用程序以在其链中提供此重新签名的从属 CA 证书的所有最终实体订阅者。注意:不要在此处重新键入2从属 CA,否则您必须使用重新键入的从属 CA 重新签署所有最终实体证书。
无论哪种情况,您都需要将新的根 CA 证书分发给所有依赖方,并将它们全部配置为信任这个新链。
根据您的遗产规模,这可能是一项相当大的任务。在这两种情况下:
如果您没有选择从属 CA,您还需要重新签署所有最终实体证书。
1重新签名意味着证书只是由 CA 重新签名。唯一会改变的属性是签名,以及可选的发行/到期日期。
2 Re-key 是指为证书生成一个新的密钥对,证书由 CA 重新签名。除了公钥和可选的发行/到期日期之外,没有其他属性会改变。