在 Windows 中的獨立 CA 的 DN 中添加 O 和 OU 部分

我在 Windows Server 2012 R2 中管理了一個獨立的 CA。它的證書有一個DN包含CN和DC，如CN=CAName,DC=domain,DC=tld. 此根證書無法儲存在 Firefox 中，可能是因為它缺少O和/或OU部分，所以我想更改根證書，添加O=companyname,OU=IT到DN.

我注意到頒發的證書具有“X509v3 授權密鑰標識符”指定keyid（它們缺少dirname、serial或任何其他對 CA 密鑰的引用）。我認為這意味著我可以使用相同的 CA 私鑰頒發新證書，而不會使所有頒發的證書失效。

那麼，我如何創建一個包含O和OU的新 CA 證書DN？

謝謝你。

我認為這意味著我可以使用相同的 CA 私鑰頒發新證書，而不會使所有頒發的證書失效。

不幸的是，你不能。您將必須建構一個新的 CA nd PKI 樹並在遷移所有已頒發的證書時停用目前的樹。沒有其他解決方法。

或對 CA 密鑰的任何其他引用

Issuer他們在欄位中引用發行人名稱。因此，如果您更改 CA 名稱，Subject即使兩個 CA 證書共享相同的密鑰對，具有不同欄位的新 CA 證書也不能用於驗證先前頒發的證書。這是在鏈中綁定證書時證書連結引擎的工作方式。

引用自：https://serverfault.com/questions/960068