16.3. 更新 subsystem 证书

更新证书的方法有两种。重新生成证书 会提取其原始密钥及其原始配置集并请求,并重新创建相同的密钥,其中包含新的有效期期限和过期日期。重新打包 证书,重新提交到原始配置集的初始证书请求,但生成新的密钥对。管理员可以通过重新密钥来续订管理员证书。

16.3.1. 在 End-Entities Forms 中重新生成证书

通过使用原始证书的序列号,可以在最终用户注册表单中直接续订子系统证书。
  1. 按照 第 5.5 节 “续订证书” 中所述,更新 CA 端到端形式的证书。这需要续订子系统证书的序列号。
  2. 将证书导入到子系统的数据库,如 第 16.6.1 节 “在证书系统数据库中安装证书” 所述。证书可以使用 certutil 或 console 导入。例如:
    certutil -A -n "ServerCert cert-example" -t u,u,u -d /var/lib/pki/instance_name/alias -a -i /tmp/example.cert