更新时间:2022-11-11 GMT+08:00
分享

私有CA轮换

  • 私有CA轮转是指使用新的CA替换即将过期的CA的过程。
  • 私有CA的管理者需要设置合适的私有CA有效期。

    有效期过长,将增加密钥材料泄露的风险;有效期过短,将频繁进行私有CA轮换,增大业务开销。

  • 私有CA是会过期的,为了保证业务的平滑切换,需要提前规划好私有CA的轮换方案。

操作步骤

  1. 创建新的替代CA,同时禁用旧CA,不再使用旧CA签发证书。通过新CA签发新证书,用新签发的证书替换旧CA签发出的各类证书,并部署到对应的业务节点上。

    • 当旧CA替换完成前,业务系统应当同时信任新、旧CA。
    • 当替换的是从属CA时,只要新签发的CA与旧CA信任的根CA是同一个,则业务节点无需做任何操作,即可同时信任新、旧CA。
    • 当替换的是根CA时,CA替换开始前,需要将新的根CA预置到业务节点的受信任根证书列表中,才可保证新签发的证书被信任。

  2. 当新证书的替换工作完成后,将旧证书全部吊销和删除,包括旧CA。
  • 规划合理的定期私有CA轮换方案,可保障证书得到不断的更新,防范私钥被攻破;规划突发情况下的应急私有CA轮换方案,可避免业务的损失,如证书私钥暴露、签发机构不再可信等各类突发情况造成的损失。
  • 新CA在主体名称上,应适当加些可识别的版本标记,如ROOT CA G0----->ROOT CA G1,以方便在私有CA轮换期间,对新旧CA的快速识别。

相关文档