Centos
CentOS 證書頒發機構增加密鑰強度
我有一個使用了幾年的自簽名 CA。這些天我為我們的 LAN 簽署/頒發的證書現在由於“弱密鑰”而在 Chrome 中收到警告。openssl 是否有一種直接的方法來替換或升級根 CA 密鑰以使用更強的加密來避免簽名證書上的“不安全”Chrome 標識?
不幸的是,升級根 CA 密鑰的唯一方法是用更新的、更強大的密鑰對替換它,然後用新的密鑰對自簽名新的根 CA 證書。
接下來的步驟取決於您是否決定在 PKI 設計中使用從屬 CA。
如果您沒有選擇從屬 CA,您將需要使用這個新的根 CA 重新簽署1 所有終端實體證書,並且訂閱者必須配置他們的服務/應用程序以在其鏈中展示他們新簽署的終端實體證書。
如果您確實選擇了從屬 CA,您將需要使用這個新的根 CA 重新簽署從屬 CA。然後,您必須將重新簽名的從屬 CA 證書提供給必須配置其服務/應用程序以在其鏈中提供此重新簽名的從屬 CA 證書的所有最終實體訂閱者。注意:不要在此處重新鍵入2從屬 CA,否則您必須使用重新鍵入的從屬 CA 重新簽署所有最終實體證書。
無論哪種情況,您都需要將新的根 CA 證書分發給所有依賴方,並將它們全部配置為信任這個新鏈。
根據您的遺產規模,這可能是一項相當重大的任務。在這兩種情況下:
- 您重新鍵入您的根 CA 一次;
- 您的服務/應用程序所有者將需要重新配置他們的服務以使用鏈中的替代 CA 證書;
- 您需要將根 CA 分發給所有依賴方;
如果您沒有選擇從屬 CA,您還需要重新簽署所有最終實體證書。
1重新簽名意味著證書只是由 CA 重新簽名。唯一會改變的屬性是簽名,以及可選的發行/到期日期。
2 Re-key 是指為證書生成一個新的密鑰對,證書由 CA 重新簽名。除了公鑰和可選的發行/到期日期之外,沒有其他屬性會改變。