轮换证书颁发机构证书
使用IBM Cloud® Secrets Manager管理公钥基础设施(PKI)时,应考虑 CA 链证书的生命周期。 这些证书应在到期前定期轮换和分发,以保持用户的 TLS 工作流程不中断。
轮换根 CA
准备工作
轮换根证书颁发机构是一项重大变更,可能会影响整个公钥基础设施,因此应提前仔细规划。
您应计划一个现有根 CA 证书和新根 CA 证书重叠的时间段,以便将新根 CA 证书分发给所有用户
因此,建议您为根 CA 证书设置较长的有效期。 在Secrets Manager 中,根证书的默认 TTL 为 10 年。
轮换根 CA
- 将即将实施的轮换计划通知 PKI 用户。 新根 CA 可供下载的时间、使用新 CA 链签发新叶证书的时间以及现有根 CA 证书过期的时间。
- 按照 创建根证书颁发机构流程 创建新的根 CA。
- 按照 创建中间证书颁发机构流程 创建与新根 CA 签名的 CA 链。
- 分发新的根 CA,允许所有用户将其与现有的根 CA 一起安装到信任存储中。
- 监控轮换计划,并将每个即将到来的里程碑事件通知 PKI 用户。
旋转中间 CA
准备工作
提前通知 PKI 用户即将进行的中间 CA 轮换。
中间 CA 可在不用于签署其他中间 CA 的情况下进行内联轮换
如果您有一个多层中间 CA 链,则应提前创建一个新的中间 CA 链与现有的中间 CA 链,并将 PKI 消费者迁移到使用新的中间 CA 链。
内联旋转中间 CA
- 如果中间 CA 是处于激活状态的内部签名 CA,并且只用于签署叶证书,则可以在线轮换。
- 内联中间 CA 的轮换不会影响使用前一个 CA 证书签名的现有叶子证书。 新的叶证书将使用新的 CA 证书签名。
使用服务 UI 进行旋转
您可以使用Secrets Manager服务用户界面轮换中间 CA 证书。
- 在控制台中,单击菜单图标
> 资源列表。 - 从服务列表中选择您的Secrets Manager实例。
- 在“秘密引擎”页面,单击“私人证书”选项卡。
- 在要旋转的中间 CA 证书行中,单击详细信息菜单
。 - 单击“操作”按钮。
- 选择旋转操作并确认。
使用 CLI 旋转
您可以使用Secrets Manager轮换中间 CA 证书。CLI.
ibmcloud secrets-manager configuration-action-create \
--name "your-intermediate-ca-name" \
--config-action-prototype '{"action_type": "private_cert_configuration_action_rotate_intermediate"}' \
--config-type private_cert_configuration_intermediate_ca
使用应用程序接口进行旋转
您可以使用Secrets Manager轮换中间 CA 证书。API 轮换中间 CA 证书:
curl -X 'POST' \
--header "accept: application/json" \
--header "Content-Type: application/json" \
--header 'X-Sm-Accept-Configuration-Type: private_cert_configuration_intermediate_ca' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/configurations/{intermediate-configuration-name}/actions" \
-d '{
"action_type": "private_cert_configuration_action_rotate_intermediate"
}'
- 将
{instance_ID}和{region}替换为适用于您的Secrets Manager服务实例的值。 要查找特定于您的实例的端点 URL,可以从Secrets Manager中的端点页面复制该 URL。用户界面。 有关更多信息,请参阅 查看端点 URL - 用中间配置名称替换
{intermediate-configuration-name}。