Odnowienie certyfikatu wystawionego przez główny urząd certyfikacji

Główny urząd certyfikacji jest górną częścią infrastruktury kluczy publicznych (PKI) i wystawia własny certyfikat z podpisem własnym. Odnawianie certyfikatu głównego urzędu certyfikacji jest zadaniem krytycznym w celu zapewnienia ciągłego zaufania i bezpieczeństwa infrastruktury kluczy publicznych. W tym artykule dowiesz się, jak odnowić główny certyfikat urzędu certyfikacji przy użyciu nowej lub istniejącej pary kluczy. Te informacje są prawidłowe zarówno dla urzędu certyfikacji przedsiębiorstwa, jak i autonomicznego urzędu certyfikacji.

Warunki wstępne

Przed rozpoczęciem upewnij się, że spełnisz następujące wymagania wstępne:

• Dostęp administracyjny do głównego serwera urzędu certyfikacji.
• Kopia zapasowa bazy danych urzędu certyfikacji i klucza prywatnego.
• Informacje o hierarchii infrastruktury kluczy publicznych i zasadach certyfikatów organizacji.

Omówienie odnawiania głównego certyfikatu urzędu certyfikacji

Gdy nadejdzie czas na odnowienie certyfikatu głównego urzędu certyfikacji, należy użyć istniejącej pary kluczy publicznych i prywatnych lub wygenerować nową parę kluczy publicznych i prywatnych. Odnawianie przy użyciu istniejącej pary jest najprostszym i najbardziej bezpośrednim podejściem. Może jednak istnieć wymóg odnowienia certyfikatu urzędu certyfikacji przy użyciu nowej pary kluczy, jeśli:

• Naruszenie zabezpieczeń podpisywania urzędu certyfikacji (istniejącej pary kluczy urzędu certyfikacji).
• Masz program, który wymaga użycia nowego klucza podpisywania z nowym certyfikatem urzędu certyfikacji.
• Bieżąca lista odwołania certyfikatów (CRL) jest zbyt duża i chcesz przenieść niektóre informacje do nowej listy CRL.

W poniższych dwóch sekcjach omówiono zmiany w certyfikacie po odnowieniu przy użyciu nowej lub istniejącej pary kluczy.

Odnawianie certyfikatu głównego urzędu certyfikacji przy użyciu istniejącej pary kluczy

Po odnowieniu certyfikatu urzędu certyfikacji z istniejącą parą kluczy nowy certyfikat zawiera ten sam klucz publiczny i prywatny. W związku z tym wszystkie wcześniej wystawione certyfikaty tworzą łańcuch z nowym certyfikatem urzędu certyfikacji. Klienty łączą wcześniej i nowo wystawione certyfikaty do nowego certyfikatu CA. Jest to spowodowane tym, że wszystkie te certyfikaty klienta są podpisane przez ten sam klucz podpisywania urzędu certyfikacji, a oba certyfikaty urzędu certyfikacji tworzą ten sam podpis dla identycznych danych.

Poniżej znajduje się podsumowanie szczegółów dotyczących nowego certyfikatu CA root:

• Nowy certyfikat urzędu certyfikacji nie zastępuje poprzedniego certyfikatu urzędu certyfikacji. Zamiast tego dodawany jest nowy plik, a indeks certyfikatu jest dołączany do nazwy pliku w nawiasach. Na przykład stary certyfikat ma nazwę: RootCA.crt, a nowy certyfikat ma nazwę: RootCA(1).crt.

• Nowy certyfikat urzędu certyfikacji ma taką samą wartość Ważny od jak stary certyfikat. Jeśli na przykład stary certyfikat urzędu certyfikacji jest ważny od 08/10/2020 do 08/10/2025, nowy certyfikat jest ważny od 08/10/2020 do 08/10/2030. Odnawianie zwiększa bieżący okres ważności certyfikatu urzędu certyfikacji.

• Skrót nowego certyfikatu urzędu certyfikacji zawiera wartość odcisku palca poprzedniego certyfikatu.

• Nowy certyfikat urzędu certyfikacji zmienia wersję certyfikatu CA. Rozszerzenie wersji CA pomaga w tworzeniu prawidłowych łańcuchów, gdy urząd certyfikacji posiada więcej niż jeden certyfikat. Rozszerzenie to składa się z dwóch wartości: indeksu certyfikatów urzędu certyfikacji oraz indeksu kluczy urzędu certyfikacji . Te wartości są oddzielone kropką, na przykład: 0.0, 2.1 i 3.3. Za każdym razem, gdy odnawiasz certyfikat urzędu certyfikacji, indeks certyfikatów urzędu certyfikacji zwiększa się o 1. Ponieważ para kluczy pozostaje taka sama, wartość indeksu klucza urzędu certyfikacji nie zwiększa się.

• Nowy urząd certyfikacyjny utrzymuje tę samą listę unieważnionych certyfikatów.

Odnawianie certyfikatu głównego urzędu certyfikacji przy użyciu nowej pary kluczy

Odnawianie przy użyciu nowej pary kluczy jest bardziej złożone i obejmuje wiele zmian w certyfikacie CA. Nowy klucz publiczny tworzy inny identyfikator klucza podmiotu, który jest skrótem klucza publicznego. Gdy urząd certyfikacji wystawia nowy certyfikat, nadaje mu wartość identyfikatora klucza podmiotu , a wystawionemu certyfikatowi rozszerzenie identyfikatora klucza urzędu . Porównanie rozszerzeń jest używane przez mechanizm łańcucha certyfikatów (CCE). W związku z tym wcześniej wystawione certyfikaty są powiązane z poprzednim certyfikatem urzędu certyfikacji, a nowo wystawione certyfikaty są powiązane odpowiednio z nowym certyfikatem urzędu certyfikacji.

Poniżej przedstawiono podsumowanie szczegółów dotyczących nowego certyfikatu głównego urzędu certyfikacji:

• Generowany jest nowy CRL. Nowa lista CRL zawiera tylko te odwołane certyfikaty, które zostały podpisane przy użyciu odnowionego certyfikatu CA lub klucza podpisywania, a nowy plik CRL zawiera sufiks CRL. Na przykład stara lista CRL ma nazwę RootCA.crl, a nowa lista CRL ma nazwę: RootCA(1).crl. Ten sufiks listy CRL jest utrzymywany przez zmienną CRLNameSuffix w ustawieniach lokalizacji CDP, a liczba zawsze jest równa wartości rozszerzenia wersji CA.

• W przeciwieństwie do wartości indeksu certyfikatów CA, indeks klucza CA nie zawsze zwiększa się o 1, ale jest ustawiony na wartość odpowiadającą indeksowi certyfikatów CA. Na przykład poprzedni certyfikat CA z rozszerzeniem wersji CA 2.0, a nowy certyfikat CA z rozszerzeniem wersji CA przyjmuje wartość 3.3.

• Jeśli używasz nowego certyfikatu głównego urzędu certyfikacji, ale nie jest on jeszcze wdrożony na wszystkich klientach, urząd certyfikacji generuje dwa certyfikaty krzyżowe. Pierwszy certyfikat krzyżowy jest podpisany przez poprzedni klucz podpisywania urzędu certyfikacji i potwierdza nowy certyfikat urzędu certyfikacji. CCE tworzy ścieżki certyfikacji dla wcześniej i nowo wystawionych certyfikatów, więc obie ścieżki łączą się tylko z poprzednim certyfikatem urzędu certyfikacji, ponieważ nowy certyfikat urzędu certyfikacji nie został jeszcze wdrożony. Aby połączyć obie ścieżki do nowego certyfikatu CA, generowany jest drugi certyfikat krzyżowy. Nowy certyfikat urzędu certyfikacji potwierdza poprzedni certyfikat urzędu certyfikacji w odwrotnej kolejności. Korzystając z certyfikatów krzyżowych, utrzymujesz tylko jeden certyfikat głównego urzędu certyfikacji z możliwością tworzenia poprawnych łańcuchów dla dowolnego certyfikatu wystawionego przez ten urząd certyfikacji.

Po wdrożeniu nowego certyfikatu urzędu certyfikacji na klientach należy go opublikować w kontenerze Zaufane główne urzędy certyfikacji na komputerze klienckim, a dopiero wtedy można usunąć poprzedni certyfikat urzędu certyfikacji z klientów. Chociaż nie zaleca się usuwania starych certyfikatów urzędu certyfikacji, ponieważ mogą być używane podczas weryfikacji podpisu cyfrowego pliku.

Jak odnowić certyfikat głównego urzędu certyfikacji

W tej sekcji opisano kroki odnawiania certyfikatu głównego urzędu certyfikacji.

Krok 1. Tworzenie kopii zapasowej urzędu certyfikacji root CA

Zacznij od utworzenia pełnej kopii zapasowej głównego urzędu certyfikacji, w tym bazy danych CA i kluczy prywatnych. Ma to kluczowe znaczenie w przypadku, gdy coś pójdzie nie tak i trzeba wycofać zmiany.

1. W Menedżerze serwera wybierz pozycję Narzędzia, a następnie Urząd certyfikacji.
2. Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji, wybierz Wszystkie zadania, a następnie utwórz kopię zapasową urzędu certyfikacji....
3. Postępuj zgodnie z instrukcjami kreatora, aby utworzyć kopię zapasową bazy danych CA i klucza prywatnego.

Krok 2: Odnów certyfikat głównego urzędu certyfikacji

1. W Menedżerze Serwera wybierz pozycję Narzędzia, a następnie Urząd Certyfikacji.
2. Kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji, wybierz Wszystkie zadania, a następnie Odnowić certyfikat urzędu certyfikacji....
3. Zostanie otwarte okno dialogowe z pytaniem, czy chcesz zatrzymać usługi certyfikatów Active Directory. Wybierz pozycję Tak.
4. Wybierz, czy chcesz wygenerować nową parę kluczy, czy użyć istniejącej pary kluczy.
   1. Wybierz pozycję Tak, aby wygenerować nową parę kluczy.
   2. Wybierz pozycję Nie, aby użyć istniejącej pary kluczy.
5. Wyświetl właściwości głównego urzędu certyfikacji, a następnie wyświetl szczegóły nowego certyfikatu, aby potwierdzić, że został utworzony pomyślnie.
   

Krok 3. Rozpowszechnianie nowego certyfikatu głównego urzędu certyfikacji

Po odnowieniu certyfikatu głównego urzędu certyfikacji należy wdrożyć go u klientów, aby te ufały wszystkim certyfikatom wystawionym przez urząd certyfikacji. Ten proces różni się w zależności od tego, czy używasz urzędu certyfikacji przedsiębiorstwa, czy autonomicznego urzędu certyfikacji.

Przedsiębiorstwowy urząd certyfikacji

Jeśli używasz urzędu certyfikacji przedsiębiorstwa, certyfikat główny jest automatycznie dystrybuowany w domenie. Klienci otrzymują ją podczas odświeżania zasad grupowych. Jeśli chcesz przyspieszyć ten proces, możesz wymusić odświeżenie przy użyciu wiersza polecenia: gpupdate /force.

Autonomiczny urząd certyfikacji

W przypadku autonomicznego urzędu certyfikacji należy wyeksportować certyfikat i udostępnić go wszystkim zaufanym klientom. Postępuj zgodnie z instrukcjami, aby dystrybuować certyfikat główny za pośrednictwem zasad grupy. Może być konieczne ręczne dystrybuowanie nowego certyfikatu do urządzeń nieprzyłączonych do domeny.

Zadania po odnowieniu

Po wprowadzeniu zmian monitoruj środowisko pod kątem problemów związanych z uwierzytelnianiem certyfikatu lub zaufaniem. Przygotuj się do szybkiego rozwiązywania i zajmowania się problemami.

• Sprawdź, czy nowy certyfikat głównego urzędu certyfikacji jest zaufany przez klientów.
• Monitoruj urząd certyfikacji pod kątem wszelkich problemów związanych z procesem odnawiania.

Powiązana zawartość

• odnawianie urzędu certyfikacji
• Microsoft Learn: Usługi Certyfikatów Active Directory