14.3.2.3. 续订管理员、代理和审核员用户证书

更新证书的方法有两种。重新生成证书 会提取其原始密钥及其原始配置集并请求,并重新创建相同的密钥,其中包含新的有效期期限和过期日期。重新打包 证书,重新提交到原始配置集的初始证书请求,但生成新的密钥对。管理员可以通过重新密钥来续订管理员证书。
每个子系统都有一个 bootstrap 用户,可在创建子系统时创建。通过使用默认续订配置集之一,可以为此用户请求一个新证书。
管理员用户的证书可以在最终用户注册表单中直接续订,使用原始证书的序列号。
  1. 在 CA 的最终用户表单中续订 admin 用户证书,如 第 5.5.1.1.2 节 “基于证书的续订” 所述。这必须与第一次签发证书(或它的克隆)相同。
    可使用末尾实体页面中基于证书的续订表格来续订代理证书。自助服务 SSL 客户端证书.此表单可识别和更新保存在浏览器的证书存储中直接存储的证书。
    注意
    您还可以使用 certutil 更新证书,如 第 16.3.3 节 “使用 certutil 更新证书” 所述。certutil 使用带有原始密钥的输入文件,而不是使用浏览器中存储的证书来启动续订。
  2. 将更新的用户证书添加到内部 LDAP 数据库中的用户条目。
    1. 打开子系统的控制台。
      pkiconsole https://server.example.com:admin_port/subsystem_type
    2. 配置 | 用户和组群 | 用户 | 管理 | 证书 | 导入
    3. Configuration 选项卡中,选择" 用户和组 "。
    4. Users 选项卡中,使用更新的证书双击用户条目,然后单击 证书
    5. 单击 Import,并粘贴到 base-64 编码证书中。
    这可以通过使用 ldapmodify 将更新的认证直接添加到内部 LDAP 数据库中的用户条目,方法是替换用户条目中的 userCertificate 属性,如 uid=admin,ou=body,dc=subsystem -base-DN