Dela via

Förnya rot-CA-certifikat

En rotcertifikatutfärdare är överst i den offentliga nyckelinfrastrukturen (PKI) och utfärdar ett eget självsignerat certifikat. Att förnya rot-CA-certifikatet är en avgörande uppgift för att säkerställa fortsatt säkerhet och förtroende för din PKI. I den här artikeln får du lära dig hur du förnyar ett certifikat för rotcertifikatutfärdare (CA) med hjälp av antingen ett nytt eller befintligt nyckelpar. Informationen är giltig för både Enterprise CA och fristående CA.

Förutsättningar

Innan du börjar bekräftar du att du uppfyller följande krav:

  • Administrativ åtkomst till Root CA-servern.
  • Säkerhetskopiering av CA-databasen och den privata nyckeln.
  • Förstå organisationens PKI-hierarki och certifikatprinciper.

Översikt över förnyelse av rotnyckelcertifikat

När det är dags att förnya ditt rot-CA-certifikat använder du antingen ditt befintliga publika och privata nyckelpar eller skapar ett nytt publikt och privat nyckelpar. Att förnya med ett befintligt par är den enklaste och mest raka metoden. Det kan dock finnas ett krav på att förnya ett CA-certifikat med ett nytt nyckelpar om:

  • CA-signeringen (det befintliga CA-nyckelparet) har komprometterats.
  • Du har ett program som kräver att en ny signeringsnyckel används med ett nytt CA-certifikat.
  • Den aktuella listan över återkallade certifikat (CRL) är för stor och du vill flytta en del av informationen till en ny CRL.

Följande två avsnitt ger en översikt över vilka ändringar som sker i certifikatet när det förnyas med hjälp av antingen ett nytt eller befintligt nyckelpar.

Förnya rotnivå-certifikatet med befintligt nyckelpar

När du förnyar ett CA-certifikat med ett befintligt nyckelpar innehåller det nya certifikatet samma offentliga och privata nyckel. Därför kedjar alla tidigare utfärdade certifikat upp till det nya CA-certifikatet. Och klienter kedjar tidigare och nyligen utfärdade certifikat upp till nytt CA-certifikat. Det beror på att alla dessa klientcertifikat signeras av samma certifikatutfärdarsigneringsnyckel, och båda CA-certifikaten skapar samma signatur för identiska data.

Följande är en sammanfattning av detaljer om det nya rot-CA-certifikatet:

  • Det nya CA-certifikatet ersätter inte ett tidigare CA-certifikat. I stället läggs en ny fil till och ett certifikatindex läggs till i filnamnet inom parenteser. Det gamla certifikatet har till exempel ett namn: RootCA.crt, och det nya certifikatet har namnet: RootCA(1).crt.

  • Det nya CA-certifikatet har samma giltigt från-värde som det gamla certifikatet. Om det gamla CA-certifikatet till exempel är giltigt från 2020-08-08-2025 är det nya certifikatet giltigt från 2020-08-10 till 2030-08-10. Förnyelsen ökar den aktuella giltighetsperioden för CA-certifikatet.

  • Det nya CA-certifikatets hash innehåller det tidigare certifikatets tumavtryck värde.

  • Det nya CA-certifikatet ändrar CA-version. Certifikatutfärdarversionstillägget hjälper till att skapa rätt kedjor när en certifikatutfärdare har mer än ett certifikat. Det här tillägget består av två värden: CA Certificate Indexoch CA Key Index. Dessa värden avgränsas med punkt, till exempel: 0.0, 2.1 och 3.3. Varje gång du förnyar ett CA-certifikat ökar CA-certifikatindexet med 1. Eftersom nyckelparet förblir detsamma ökar inte värdet CA Key Index.

  • Den nya CA:n har samma CRL.

Förnya rot-CA-certifikatet med nytt nyckelpar

Förnyelse med ett nytt nyckelpar är mer komplext och innehåller många ändringar i CA-certifikatet. En ny offentlig nyckel skapar en annan ämnesnyckelidentifierare, som är hashen för den offentliga nyckeln. När certifikatutfärdaren utfärdar ett nytt certifikat ger certifikatet ett ämnesnyckelidentifierare värde till ett utfärdat certifikat utfärdarnyckelidentifierare-tillägget. Tilläggsjämförelsen används av certifikatlänkningsmotorn (CCE). Därför kedjar de tidigare utfärdade certifikaten upp till det tidigare CA-certifikatet och nyligen utfärdade certifikat kedjar upp till det nya CA-certifikatet.

Följande är en sammanfattning av detaljer om det nya rotcertifikatet:

  • En ny CRL genereras. Den nya crl-filen innehåller endast de återkallade certifikat som signerats med det förnyade CA-certifikatet eller signeringsnyckeln, och den nya CRL-filen innehåller CRL-suffixet. Den gamla CRL:n har till exempel namnet RootCA.crl, och den nya CRL:n har namnet: RootCA(1).crl. Det här CRL-suffixet underhålls av CRLNameSuffix variabel i CDP-platsinställningarna och talet är alltid lika med värdet för CA-versionstillägget.

  • Till skillnad från CA-certifikatindex värde ökar inte CA-nyckelindexet alltid med 1, utan anges till värdet CA Certificate Index. Det tidigare CA-certifikatet har till exempel CA Version-tillägget som 2.0 och det nya CA-certifikatet CA Version-tillägget har värdet 3.3.

  • När du använder det nya rotcertifikatet, men det inte har distribuerats till alla klienter ännu, genererar CA två tvärkorscertifikat. Det första korscertifikatet signeras av den tidigare certifikatutfärdarsigneringsnyckeln och certifierar det nya CA-certifikatet. CCE skapar certifieringssökvägar för tidigare och nyligen utfärdade certifikat, så båda sökvägarna kedjar endast upp till det tidigare CA-certifikatet eftersom det nya CA-certifikatet inte har distribuerats ännu. Om du vill länka båda sökvägarna till ett nytt CA-certifikat genereras ett andra korscertifikat. Det nya CA-certifikatet certifierar det tidigare CA-certifikatet i omvänd riktning. Genom att använda korskvalificeringar underhåller du bara ett rotcertifikat med möjlighet att skapa rätt kedjor för alla certifikat som utfärdats av denna certifikatutfärdare.

När du har distribuerat det nya CA-certifikatet till klienter måste det publiceras i containern Betrodda rotcertifikatutfärdare på klientdatorn, och först därefter kan du ta bort det tidigare CA-certifikatet från klienter. Även om det inte rekommenderas att ta bort gamla CA-certifikat, eftersom de kan användas under validering av digitala signaturer.

Så här förnyar du rot-CA-certifikatet

I det här avsnittet beskrivs stegen för att förnya ett rotintyg.

Steg 1: Säkerhetskopiera rotcertifikatsutfärdare

Börja med att säkerhetskopiera din rotcertifikatmyndighet fullständigt, inklusive CA-databasen och de privata nycklarna. Detta är avgörande om något går fel, och du måste återställa ändringar.

  1. I Serverhanteraren väljer du Verktygoch sedan certifikatutfärdare.
  2. Högerklicka på CA-namnet, välj Alla uppgifteroch Säkerhetskopiera CA....
  3. Följ guiden för att säkerhetskopiera CA-databasen och den privata nyckeln.

Steg 2: Förnya rotcertifikatet

  1. I Serverhanteraren väljer du Verktygoch sedan certifikatutfärdare.
  2. Högerklicka på ca-namnet, välj Alla uppgifteroch sedan Förnya CA-certifikat.... En skärmbild av alternativet att förnya CA-certifikatet.
  3. En dialogruta öppnas och frågar om du vill stoppa Active Directory Certificate Services. Välj Ja. En skärmbild av dialogrutan där du uppmanas att stoppa Active Directory Certificate Services.
  4. Välj om du vill generera ett nytt nyckelpar eller använda det befintliga nyckelparet.
    1. Välj Ja för att generera ett nytt nyckelpar.
    2. Välj Ingen för att använda det befintliga nyckelparet. En skärmbild av dialogrutan som frågar om du vill generera ett nytt nyckelpar eller använda ett befintligt nyckelpar.
  5. Visa egenskaperna för rotcertifikatutfärdaren (rot-CA) och visa sedan den nya certifikatinformationen för att bekräfta att den har skapats framgångsrikt.
    En skärmbild av egenskapsfönstret för en rot-CA.

Steg 3: Distribuera det nya rotcertifikatet

Efter att du har förnyat root CA-certifikatet måste du distribuera det till klienterna så att de litar på alla certifikat som utfärdats av certifikatutfärdaren. Den här processen skiljer sig beroende på om du använder en enterprise CA eller fristående CA.

Företagscertifikat

Om du kör en företagets CA distribueras rotcertifikatet automatiskt inom domänen. Klienter får det vid uppdateringen av gruppolicy. Om du vill påskynda den här processen kan du framtvinga en uppdatering med kommandotolken: gpupdate /force.

Fristående certifikatutfärdare

Med en fristående certifikatutfärdare måste du exportera certifikatet och publicera det till alla betrodda klienter. Följ anvisningarna för att distribuera rotcertifikatet via grupppolicy. Det kan vara nödvändigt att distribuera det nya certifikatet manuellt till icke-domänanslutna enheter.

Uppgifter efter förnyelse

Efter ändringarna övervakar du din miljö för eventuella problem som rör certifikatautentisering eller förtroende. Var beredd på att felsöka och åtgärda problem snabbt.

  • Kontrollera att det nya rootcertifikatet är betrott av alla klienter.
  • Övervaka certifikatet för eventuella problem som rör förnyelseprocessen.

Relaterat innehåll