Windows-Server-2012-R2

在 Windows 中的獨立 CA 的 DN 中添加 O 和 OU 部分

  • March 26, 2019

我在 Windows Server 2012 R2 中管理了一個獨立的 CA。它的證書有一個DN包含CNDC,如CN=CAName,DC=domain,DC=tld. 此根證書無法儲存在 Firefox 中,可能是因為它缺少O和/或OU部分,所以我想更改根證書,添加O=companyname,OU=ITDN.

我注意到頒發的證書具有“X509v3 授權密鑰標識符”指定keyid(它們缺少dirnameserial或任何其他對 CA 密鑰的引用)。我認為這意味著我可以使用相同的 CA 私鑰頒發新證書,而不會使所有頒發的證書失效。

那麼,我如何創建一個包含OOU的新 CA 證書DN

謝謝你。

我認為這意味著我可以使用相同的 CA 私鑰頒發新證書,而不會使所有頒發的證書失效。

不幸的是,你不能。您將必須建構一個新的 CA nd PKI 樹並在遷移所有已頒發的證書時停用目前的樹。沒有其他解決方法。

或對 CA 密鑰的任何其他引用

Issuer他們在欄位中引用發行人名稱。因此,如果您更改 CA 名稱,Subject即使兩個 CA 證書共享相同的密鑰對,具有不同欄位的新 CA 證書也不能用於驗證先前頒發的證書。這是在鏈中綁定證書時證書連結引擎的工作方式。

引用自:https://serverfault.com/questions/960068