私有CA轮换

操作步骤

1. 创建新的替代CA，同时禁用旧CA，不再使用旧CA签发证书。通过新CA签发新证书，用新签发的证书替换旧CA签发出的各类证书，并部署到对应的业务节点上。
   

   • 当旧CA替换完成前，业务系统应当同时信任新、旧CA。
   • 当替换的是从属CA时，只要新签发的CA与旧CA信任的根CA是同一个，则业务节点无需做任何操作，即可同时信任新、旧CA。
   • 当替换的是根CA时，CA替换开始前，需要将新的根CA预置到业务节点的受信任根证书列表中，才可保证新签发的证书被信任。

2. 当新证书的替换工作完成后，将旧证书全部吊销和删除，包括旧CA。

• 规划合理的定期私有CA轮换方案，可保障证书得到不断的更新，防范私钥被攻破；规划突发情况下的应急私有CA轮换方案，可避免业务的损失，如证书私钥暴露、签发机构不再可信等各类突发情况造成的损失。
• 新CA在主体名称上，应适当加些可识别的版本标记，如ROOT CA G0----->ROOT CA G1，以方便在私有CA轮换期间，对新旧CA的快速识别。