Эта ссылка дает два варианта обновления ключа:
1. Используя тот же ключ подписи CA
Если вы ссылаетесь на RFC 3647, это правильное определение продления . В этом случае ключи остаются прежними, а тема сертификата остается прежней. По сути, новый сертификат совпадает с старым , хотя и с разными датами.
Проверяющие стороны будут доверять этому сертификату так же, как доверяли оригиналу.
2. Генерация новых ключей подписи CA
Правильный термин для этого - повторно введите . Ключ меняется, и тема остается прежней. Сертификат является другим сертификатом в отношении любых доверяющих сторон. Это может означать больше работы для вас.
Сначала вам необходимо выяснить, что произойдет с исходным сертификатом CA. Будет ли он истек или будет отменен, или он все еще будет действителен?
Если он выходит на пенсию, вам необходимо заменить все сертификаты, выданные этим оригинальным сертификатом CA, поскольку они будут проверяться только через оригинальный CA.
Если нет, и вы перепрофилируете по другим причинам, например, CRL исходного сертификата CA стал слишком большим для управления, тогда нет необходимости торопиться с заменой всех ваших сертификатов подписчика. Старый сертификат CA будет по-прежнему проверять эти сертификаты, в то время как сертификаты подписчиков, выданные новым сертификатом CA, будут проверяться новым сертификатом CA.