更新时间:2022-11-11 GMT+08:00
私有CA轮换
- 私有CA轮转是指使用新的CA替换即将过期的CA的过程。
- 私有CA的管理者需要设置合适的私有CA有效期。
- 私有CA是会过期的,为了保证业务的平滑切换,需要提前规划好私有CA的轮换方案。
操作步骤
- 创建新的替代CA,同时禁用旧CA,不再使用旧CA签发证书。通过新CA签发新证书,用新签发的证书替换旧CA签发出的各类证书,并部署到对应的业务节点上。
- 当旧CA替换完成前,业务系统应当同时信任新、旧CA。
- 当替换的是从属CA时,只要新签发的CA与旧CA信任的根CA是同一个,则业务节点无需做任何操作,即可同时信任新、旧CA。
- 当替换的是根CA时,CA替换开始前,需要将新的根CA预置到业务节点的受信任根证书列表中,才可保证新签发的证书被信任。
- 当新证书的替换工作完成后,将旧证书全部吊销和删除,包括旧CA。
- 规划合理的定期私有CA轮换方案,可保障证书得到不断的更新,防范私钥被攻破;规划突发情况下的应急私有CA轮换方案,可避免业务的损失,如证书私钥暴露、签发机构不再可信等各类突发情况造成的损失。
- 新CA在主体名称上,应适当加些可识别的版本标记,如ROOT CA G0----->ROOT CA G1,以方便在私有CA轮换期间,对新旧CA的快速识别。
父主题: 私有CA管理最佳实践