私有CA轮换

更新时间：2022-11-17 GMT+08:00

查看PDF

创建新的替代CA，同时禁用旧CA，不再使用旧CA签发证书。通过新CA签发新证书，用新签发的证书替换旧CA签发出的各类证书，并部署到对应的业务节点上。
须知：
- 当旧CA替换完成前，业务系统应当同时信任新、旧CA。
- 当替换的是从属CA时，只要新签发的CA与旧CA信任的根CA是同一个，则业务节点无需做任何操作，即可同时信任新、旧CA。
- 当替换的是根CA时，CA替换开始前，需要将新的根CA预置到业务节点的受信任根证书列表中，才可保证新签发的证书被信任。
当新证书的替换工作完成后，将旧证书全部吊销和删除，包括旧CA。

说明：

规划合理的定期私有CA轮换方案，可保障证书得到不断的更新，防范私钥被攻破；规划突发情况下的应急私有CA轮换方案，可避免业务的损失，如证书私钥暴露、签发机构不再可信等各类突发情况造成的损失。
新CA在主体名称上，应适当加些可识别的版本标记，如ROOT CA G0----->ROOT CA G1，以方便在私有CA轮换期间，对新旧CA的快速识别。

父主题： 私有CA管理最佳实践

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消