ผู้ออกใบรับรอง CentOS เพิ่มความแข็งแกร่งของคีย์

ขออภัย วิธีเดียวในการอัปเกรดคีย์ Root CA คือแทนที่ด้วยคู่คีย์ที่ใหม่กว่า แข็งแกร่งกว่า และหลังจากนั้น ให้ลงนามในใบรับรอง Root CA ใหม่ด้วยตนเองด้วยคู่ใหม่

ขั้นตอนต่อไปขึ้นอยู่กับว่าคุณตัดสินใจใช้ CA รองในการออกแบบ PKI ของคุณหรือไม่

หากคุณไม่ได้สมัคร CA รอง คุณจะต้องลงชื่อใหม่¹ ทั้งหมด ใบรับรองเอนทิตีปลายทางที่มี Root CA ใหม่นี้ และผู้สมัครสมาชิกต้องกำหนดค่าบริการ/แอปพลิเคชันของตนเพื่อแสดงใบรับรองเอนทิตีที่ลงนามใหม่ในห่วงโซ่ของตน

หากคุณเลือกใช้ CA รอง คุณจะต้องลงชื่อเฉพาะ CA รองอีกครั้งด้วย Root CA ใหม่นี้ จากนั้น คุณต้องมอบใบรับรอง CA รองที่ลงนามใหม่ให้กับผู้สมัครใช้งานปลายทางทั้งหมดที่ต้องกำหนดค่าบริการ/แอปพลิเคชันของตนเพื่อแสดงใบรับรอง CA รองที่ลงนามใหม่นี้ในห่วงโซ่ของตน หมายเหตุ: อย่าคีย์ซ้ำ² CA รองที่นี่ มิฉะนั้น คุณจะต้องลงนามใบรับรองเอนทิตีทั้งหมดอีกครั้งด้วย CA รองที่คีย์ใหม่

ไม่ว่าในกรณีใด คุณจะต้องแจกจ่ายใบรับรอง CA รูทใหม่ของคุณให้กับฝ่ายที่เกี่ยวข้องทั้งหมด และกำหนดค่าทั้งหมดให้เชื่อถือเชนใหม่นี้

ขึ้นอยู่กับขนาดของที่ดินของคุณ นี่อาจเป็นงานที่สำคัญทีเดียว ในทั้งสองสถานการณ์:

• คุณป้อน Root CA อีกครั้งหนึ่งครั้ง
• เจ้าของบริการ/แอปพลิเคชันของคุณจะต้องกำหนดค่าบริการใหม่เพื่อใช้ใบรับรอง CA ทดแทนในห่วงโซ่
• คุณจะต้องแจกจ่าย Root CA ให้กับฝ่ายที่เกี่ยวข้องทั้งหมด

หากคุณไม่ได้เลือกใช้ CA รอง คุณจะต้องลงชื่อใหม่ ทั้งหมด ใบรับรองเอนทิตีด้วย

¹ ลงชื่อใหม่หมายความว่าใบรับรองเพิ่งลงนามอีกครั้งโดย CA แอตทริบิวต์เดียวที่จะเปลี่ยนแปลงคือลายเซ็น และเลือกวันที่ออก/หมดอายุ

² คีย์ซ้ำหมายถึงคู่คีย์ใหม่ถูกสร้างขึ้นสำหรับใบรับรอง และใบรับรองได้รับการลงนามใหม่โดย CA ไม่มีแอตทริบิวต์อื่นนอกจากคีย์สาธารณะและวันที่ออก/วันหมดอายุที่ไม่บังคับ เปลี่ยนแปลง