Certificate 如何续订Microsoft SubCA？

有两个独立的CA虚拟机（Windows Server 2012）：

• 根卡
• SubCA-由RootCA创建/签署

RootCA已关闭并脱机（无网络连接）

如何续订Microsoft SubCA

SubCA的有效期现在超过一年，但我们希望提前计划。 根CA和子CA未连接到Windows域，它不用于Active Directory。 SubCA用于为外部内部服务器（Apache、Nginx、IIS等）生成SSL证书

RootCA和SubCA证书在Windows和Linux机器（服务器和工作站）上都是可信的

---

续订后是否需要将新续订的SubCA证书添加为受信任证书？或者它已经被信任，但现在它刚刚被更新？

更新的子卡将被信任，因为它将由已经被信任的RootCA签名-这就是PKI的工作方式

切勿将新的SubCA证书添加到信任存储中，因为它不能被明确信任。它只被隐式信任，因为它发出的CA（本例中的根）是可信的。请记住，如果要将其添加到信任存储中，并且随后决定SubCA已受损，因此需要撤销，则必须手动将其从所有信任存储中删除—这是一个费劲的过程

相反，当您下次续订其终端实体证书时，您将需要向所有订户提供此新的SubCA证书，以便他们在依赖方连接时呈现正确的链（根据TLS协议的要求）

在Windows世界中，您可以将其添加到中间CA存储（而不是根CA存储，请记住！），以便服务器在其最终实体证书由子CA续订时可以将其交给服务器。Windows将确定在续订最终实体证书时要发送哪个CA证书

---

在非Windows环境中，您必须阅读应用程序的文档，以确定CA证书应安装在何处。通常情况下，它们会附加到包含最终实体证书的文件中，但可能会有所不同-请检查。

谢谢Garethred的回答。所以，如果RootCA是可信的，我们将创建一个由RootCA签名的新subc2，那么subc2也将是可信的？因为它是由受信任的RootCA签署的？关于终端实体证书（即SSL/TLS服务器证书）-当SSL/TLS证书下次续订时，必须在服务器上添加新的子证书作为受信任证书？或者服务器必须将其存储在某个位置以显示链？我已经稍微调整了我的答案，但您其他问题的答案已经全部在那里了。是的，是的，不是的，是的-按顺序：-）