Ssl 我可以修改私钥的有效性吗？

我是计算机安全方面的新手，我有一个基本的问题，我还没有找到答案

我有一个私钥，其有效期已过期。使用该密钥，我以前生成了一个.csr并将其发送给CA，他们给了我一个仍然有效的证书

我的问题是，我是否可以（使用keytool或其他…）修改私钥的过期日期，以便将其与证书（.cer）一起使用。我可以重新生成用于此证书的私钥吗

谢谢你，不用了

有效期在证书中，而不是私钥中。无法修改证书，并且只能生成有效证书的实体是证书颁发机构

你必须支付新证书的费用。证书过期是一种安全措施，但也是获得经常性客户的一种方式。

不仅仅是生成一对密钥：它生成一对公钥和私钥，并将公钥包装到一个自签名的X.509证书中，该证书使用给定的各种选项（

-dname

，

-validity

，…）当场生成。它将它们放在您选择的别名中（私钥条目将私钥与证书或长度为1的证书链相关联）

这些选项影响自签名的X.509证书，而不是密钥对本身

通常，如果您不想使用自签名证书，您将基于此公钥和此自签名X.509证书的特征生成CSR（CSR的结构实际上与自签名证书的结构非常相似，但没有颁发者或有效期）。然后，您的CA使用该CSR颁发X.509证书（这次由该CA签名）

您需要将其再次导入该别名，以便能够使用带有私钥的证书。如果自签名证书（或与此私钥匹配的旧证书）已过期，请重新导入仍然有效的证书

事实上，如果存在中间证书，您不仅应该导入该证书，还应该导入证书链（请参阅和）

---

如果您的

.cer

文件是DER格式（二进制）而不是PEM格式（DER格式的base64编码），您可以使用

openssl x509-通知DER-in-mycert.cer-outform PEM-out-mycert.crt将其转换为PEM

并使用结果构建链并导入它。

谢谢您的回答。实际上，.cer的有效期到2015年，但我无法使用它，因为密钥对有效期（创建密钥对时keytool的validity参数）已过期。有什么想法吗？“证书过期是一种安全措施……”——谷歌和其他一些公司每隔30天左右轮换一次证书，但会重新认证相同的公钥。他们这样做是为了保持移动客户端的CRL较小。我不相信有任何安全原因（模键连续性）。这就是为什么在没有虚假噪音的情况下无法处理像Gmail这样的网站。“你必须为新证书付费…”并提供大多数移动和桌面浏览器信任的免费证书。它们是1类证书（域验证，无通配符）。如果需要，他们会收取撤销费用。他们对2级或更高级别的证书收费。私钥（或公钥）不会过期，证书会过期。“我可以重新生成私钥以用于此证书吗”-您可以，但不应该。在过去，钥匙管理和钥匙轮换就像一种宗教（现在仍然是）。但我们在实践中发现，更好的做法是尊重密钥连续性并重新认证或重新使用同一密钥（无密钥泄露）。然后，利用纵深防御和安全多样化技术的系统可以做一些事情，如首次使用时的信任（TOFU）和锁定。如果钥匙有规律地更换，那么它就会折断豆腐并钉住。当按键意外变化时，MitM应发出警报。这个问题似乎与主题无关，因为它与编程无关。询问

keytool-import-v-alias privateKeyAlias-keystore theKeyStore.jks-文件abc123456def.crt-trustcacerts

不要忘记“trustcacerts”参数，用CA发送给您的签名公钥替换公钥！