16.4. 更改 子系统证书的名称

更新证书的一种替代方法是用新证书替换它们,这意味着会使用新密钥生成新证书。通常,一个新证书可以添加到数据库和旧的证书,它是一个简单的一对一交换。这是因为单个子系统服务器根据其 nickname 识别证书;只要证书别名保持不变,服务器就可以找到所需的证书,即使主题名称、序列号或密钥一样,该服务器也可以找到所需的证书(如主题名称、序列号或密钥)。
然而,在某些情况下,新证书也可能具有新证书 nickname。在这种情况下,需要在子系统的 CS.cfg 配置文件中的所有必要设置中更新证书 nickname。
重要
在编辑 CS.cfg 文件后,始终重启子系统。
这些表列出了每个子系统证书的所有配置参数:

表 16.3. CA 证书 Nickname 参数

CA 签署证书
  • ca.cert.signing.nickname
  • ca.signing.cacertnickname
  • ca.signing.certnickname
  • ca.signing.nickname
  • cloning.signing.nickname
OCSP 签署证书
  • ca.ocsp_signing.cacertnickname
  • ca.ocsp_signing.certnickname
  • ca.cert.ocsp_signing.nickname
  • ca.ocsp_signing.nickname
  • cloning.ocsp_signing.nickname
Subsystem Certificate
  • ca.cert.subsystem.nickname
  • ca.subsystem.nickname
  • cloning.subsystem.nickname
  • pkiremove.cert.subsystem.nickname
服务器证书
  • ca.sslserver.nickname
  • ca.cert.sslserver.nickname
审计签署证书
  • ca.audit_signing.nickname
  • ca.cert.audit_signing.nickname
  • cloning.audit_signing.nickname

表 16.4. KRA Certificate Nickname 参数

传输证书
  • cloning.transport.nickname
  • kra.cert.transport.nickname
  • kra.transport.nickname
  • tks.kra_transport_cert_nickname
    请注意,此参数位于 TKS 配置文件中。如果 KRA 传输证书 nickname 发生变化,这需要在 TKS 配置中更改,即使 TKS 证书都保持不变。
Storage Certificate
  • cloning.storage.nickname
  • kra.storage.nickname
  • kra.cert.storage.nickname
服务器证书
  • kra.cert.sslserver.nickname
  • kra.sslserver.nickname
Subsystem Certificate
  • cloning.subsystem.nickname
  • kra.cert.subsystem.nickname
  • kra.subsystem.nickname
  • pkiremove.cert.subsystem.nickname
审计日志签名证书
  • cloning.audit_signing.nickname
  • kra.cert.audit_signing.nickname
  • kra.audit_signing.nickname

表 16.5. OCSP 证书 Nickname 参数

OCSP 签署证书
  • cloning.signing.nickname
  • ocsp.signing.certnickname
  • ocsp.signing.cacertnickname
  • ocsp.signing.nickname
服务器证书
  • ocsp.cert.sslserver.nickname
  • ocsp.sslserver.nickname
Subsystem Certificate
  • cloning.subsystem.nickname
  • ocsp.subsystem.nickname
  • ocsp.cert.subsystem.nickname
  • pkiremove.cert.subsystem
审计日志签名证书
  • cloning.audit_signing.nickname
  • ocsp.audit_signing.nickname
  • ocsp.cert.audit_signing.nickname

表 16.6. TKS 证书 Nickname 参数

KRA 传输证书[a]
  • tks.kra_transport_cert_nickname
服务器证书
  • tks.cert.sslserver.nickname
  • tks.sslserver.nickname
Subsystem Certificate
  • cloning.subsystem.nickname
  • tks.cert.subsystem.nickname
  • tks.subsystem.nickname
  • pkiremove.cert.subsystem.nickname
审计日志签名证书
  • cloning.audit_signing.nickname
  • tks.audit_signing.nickname
  • tks.cert.audit_signing.nickname
[a] 如果 KRA 传输证书 nickname 发生变化,这需要在 TKS 配置中更改,即使 TKS 证书都保持不变。

表 16.7. CS.cfg 中的 TPS Nickname 参数

服务器证书
  • tps.cert.sslserver.nickname
Subsystem Certificate
  • tps.cert.subsystem.nickname
  • selftests.plugin.TPSValidity.nickname
  • selftests.plugin.TPSPresence.nickname
  • pkiremove.cert.subsystem.nickname
审计日志签名证书
  • tps.cert.audit_signing.nickname