CA需要更新憑證的主要原因是:
。憑證到期: 每張 CA憑證都有有效期限, 若不更新, 超過期限後將無法再簽發憑證或進行憑證驗證
。加密技術變更: 隨著演算法(如SHA-1)被視為不安全, 必須更新 CA憑證以採用更安全的加密演算法與密碼長度w-studio.idv.tw
。憑證資訊變更: 例如 CA名稱、憑證使用者原則、發行範圍等變動, 需重新簽發新的 CA憑證
。憑證洩露或風險管理: 若 CA私密金鑰洩露或基於風險考量主動輪替金鑰則需更新憑證
。階層架構調整: 在 CA架構重整或重新設計階層結構時, 也可能需要更新或重新發行 CA憑證
Root CA憑證更新注意事項:
。自行簽發: Root CA憑證是自我簽署的, 因此更新過程中必須妥善管理新的 Root憑證的信任佈署(如發佈至企業內部裝置、更新憑證信任清單)
。並行信任: 通常會讓新舊 Root憑證並行存在一段時間, 以確保系統逐步信任新的 Root CA
。密鑰管理: 可選擇是否更換金鑰組, 若更換金鑰, 舊憑證及其所簽發的憑證鏈將完全獨立於新金鑰
。長效期設計: Root CA憑證通常設計為10~20年有效期, 但仍需提前規劃更新與佈署計畫
從屬(次級)CA憑證更新注意事項:
。由上層 CA重新簽發: 次級 CA憑證必須由其上層 CA重新簽署, 因此更新時需與上層 CA協調作業
。不中斷服務: 次級 CA憑證更新過程中, 要確保新的 CA憑證有效前, 舊憑證仍可正常運作, 避免憑證服務中斷
。金鑰選擇:
--保留原金鑰組: 適用於單純延長憑證有效期或憑證屬性更新
--產生新金鑰組: 適用於密鑰輪替或演算法升級, 更新後新憑證與舊憑證形成兩條獨立的信任鏈
。CRL與 AIA/CDP路徑: 更新後需檢查憑證撤銷清單(CRL)及 AIA/CDP路徑資訊正確指向新憑證或維持舊鏈路可用
。管理紀錄: 更新後要確保記錄完整, 以供日後稽核與追溯
沒有留言:
張貼留言