Обновление CA EJBCA

Эта ссылка дает два варианта обновления ключа:

1. Использование одного и того же ключа подписи ЦС

Если вы ссылаетесь на RFC 3647, это правильное определение обновления. В этом случае ключи остаются прежними, а субъект сертификата остается прежним. По сути, новый сертификат такой же, как и старый, хотя и с другими датами.

Доверяющие стороны будут доверять этому сертификату так же, как они доверяли оригиналу.

2. Генерация новых ключей подписи ЦС

Правильным термином для этого является повторный ключ. Тональность меняется, а Тема остается прежней. Сертификат является другим сертификатом с точки зрения любых полагающихся сторон. Это может означать больше работы для вас.

Сначала вам нужно выяснить, что произойдет с исходным сертификатом ЦС. Истечет ли срок его действия, будет ли он отозван или будет по-прежнему действовать?

Если он устаревает, вам необходимо заменить все сертификаты, выданные этим исходным сертификатом ЦС, поскольку они будут проверяться только через исходный ЦС.

Если нет, и вы меняете ключи по другим причинам, например, CRL исходного сертификата ЦС стал слишком большим для управления, то нет необходимости спешить с заменой всех ваших сертификатов подписчика. Старый сертификат ЦС по-прежнему будет проверять эти сертификаты, в то время как сертификаты подписчика, выданные новым сертификатом ЦС, будут проверяться новым сертификатом ЦС.