我们有一个现有的内部根CA独立,为我们的域mycompany.com颁发证书。 我们有从这个CA安装在整个公司的多个证书。 我们面临的问题是,我们有一个思科VPN,需要相信这个CA的移动设备VPN,但返回一个错误,因为根CA的有效期超过2038年,不接受它。 现在问题是如何去解决这个问题? 如果我在2038年前使用相同的私钥/公钥和失效date来更新根CA,我是否需要更新已经由CA颁发的证书? 我们正在考虑的第二个select是安装从属颁发CA,在这种情况下,问题是此CA能够颁发域名mycompany.com的证书吗? 任何关于如何摆脱PKI专家的这个混乱的build议,将不胜感激。
关于你的第一个答案,我总是想知道这个。 我会在你的实验室里testing这个非常特殊的场景! 我认为应该有可能使用相同的密钥更新证书,但另一个到期date。
关于发行(在线)CA. 您的思科VPN应validation信任链直到根CA,然后再次抱怨根CA的有效期。
因此,您需要使用相同的密钥和更短的有效期更新根CA,或者您需要设置第二个CA.