5.5. 续订证书

本节讨论如何更新证书。有关如何设置证书续订的详情请参考 第 3.4 节 “配置配置集以启用续订”
续订证书包括重新生成证书,其属性与原始证书相同。通常,有两个类型的续订:
  • 相同的密钥续订 是原始密钥、配置文件和请求证书,并使用相同密钥重新创建具有新有效期期限和到期日期的新证书。这可以通过以下任一方法完成:
    • 通过原始配置集(CSR)重新提交原始证书请求(CSR),或者
    • 使用支持工具(如 certutil)使用原始密钥重新生成 CSR
  • 重新标记证书需要使用相同的信息重新生成证书请求,以便生成新的密钥对。然后,CSR 通过原始配置集提交。

5.5.1. 相同的密钥续订

5.5.1.1. 重新使用 CSR

在终端实体门户上,有三种批准方法可以进行相同的密钥续订。
  • agent-approved 方法需要提交要续订的证书的序列号;此方法需要 CA 代理的批准。
  • 基于目录的续订需要提交要续订的证书的序列号,并且 CA 从其当前证书目录条目中提取信息。如果 ldap uid/pwd 已被成功进行身份验证,则证书会被自动批准。
  • 基于证书的续订使用浏览器数据库中的证书进行身份验证,并具有重新发布相同的证书。
5.5.1.1.1. 代理(Approved)或基于目录的续订
有时,必须手动批准证书续订请求,可以是 CA 代理,或者提供用户目录的登录信息。
  1. 打开发布证书的 CA 的端点服务页面(或其克隆)。
    https://server.example.com:8443/ca/ee/ca
  2. 单击要使用的续订表单的名称。
  3. 输入要续订的证书的序列号。这可以采用十进制或十六进制格式。
  4. 点续订按钮。
  5. 请求已提交。对于基于目录的续订,更新的证书将自动返回。否则,代理将批准续订请求。
5.5.1.1.2. 基于证书的续订
有些用户证书直接存储在浏览器中,因此一些续订表单只需检查浏览器证书数据库来进行续订。如果可以续订证书,则 CA 会自动批准并重新发布证书。
重要
如果被续订的证书 已经 到期,则可能就无法用于基于证书的续订。浏览器客户端可能会禁止任何带有过期证书的 SSL 客户端身份验证。
在这种情况下,必须使用其它续订方法之一续订证书。
  1. 打开发布证书的 CA 的端点服务页面(或其克隆)。
    https://server.example.com:8443/ca/ee/ca
  2. 单击要使用的续订表单的名称。
  3. 没有输入字段,因此点击 续订 按钮。
  4. 提示时,选择要续订的证书。
  5. 请求将被提交,并且会自动返回更新的证书。

5.5.1.2. 通过使用相同密钥生成 CSR 续订

有时,原始 CSR 可能不可用。certutil 工具允许一个使用相同键重新生成 CSR,只要该密钥对位于 NSS 数据库中。这可以通过执行以下操作来实现:
  1. 在 NSS db 中找到对应的密钥 id:
    Certutil -d <nssdb dir> -K
  2. 使用特定密钥生成 CSR:
    Certutil -d <nssdb dir> -R -k <key id> -s <subject DN> -o <CSR output file>
或者,如果一个密钥 与 NSS db 中的证书相关联,则可使用 nickname
  • 使用现有 nickname 生成 CSR:
    Certutil -d <nssdb dir> -R -k <nickname> -s <subject DN> -o <CSR output file>