Windows-Server-2012-R2
在 Windows 中的獨立 CA 的 DN 中添加 O 和 OU 部分
我在 Windows Server 2012 R2 中管理了一個獨立的 CA。它的證書有一個
DN
包含CN
和DC
,如CN=CAName,DC=domain,DC=tld
. 此根證書無法儲存在 Firefox 中,可能是因為它缺少O
和/或OU
部分,所以我想更改根證書,添加O=companyname,OU=IT
到DN
.我注意到頒發的證書具有“X509v3 授權密鑰標識符”指定
keyid
(它們缺少dirname
、serial
或任何其他對 CA 密鑰的引用)。我認為這意味著我可以使用相同的 CA 私鑰頒發新證書,而不會使所有頒發的證書失效。那麼,我如何創建一個包含
O
和OU
的新 CA 證書DN
?謝謝你。
我認為這意味著我可以使用相同的 CA 私鑰頒發新證書,而不會使所有頒發的證書失效。
不幸的是,你不能。您將必須建構一個新的 CA nd PKI 樹並在遷移所有已頒發的證書時停用目前的樹。沒有其他解決方法。
或對 CA 密鑰的任何其他引用
Issuer
他們在欄位中引用發行人名稱。因此,如果您更改 CA 名稱,Subject
即使兩個 CA 證書共享相同的密鑰對,具有不同欄位的新 CA 證書也不能用於驗證先前頒發的證書。這是在鏈中綁定證書時證書連結引擎的工作方式。