Thật không may, cách duy nhất để nâng cấp khóa Root CA là thay thế nó bằng một cặp khóa mới hơn, mạnh hơn và sau đó, tự ký chứng chỉ Root CA mới với cặp khóa mới.
Các bước tiếp theo phụ thuộc vào việc bạn có quyết định sử dụng các CA cấp dưới trong thiết kế PKI của mình hay không.
Nếu bạn không đến các CA cấp dưới, bạn sẽ cần phải ký lại1 tất cả các chứng chỉ thực thể cuối với Root CA mới này và người đăng ký phải định cấu hình dịch vụ/ứng dụng của họ để xuất trình chứng chỉ thực thể cuối mới được ký trong chuỗi của họ.
Nếu bạn đã chọn các CA cấp dưới, bạn sẽ chỉ cần ký lại (các) CA cấp dưới với Root CA mới này. Sau đó, bạn phải cung cấp (các) chứng chỉ CA cấp dưới được ký lại cho tất cả người đăng ký thực thể cuối, những người phải định cấu hình dịch vụ/ứng dụng của họ để xuất trình chứng chỉ CA cấp dưới được ký lại này trong chuỗi của họ. Lưu ý: không đánh lại key2 CA cấp dưới tại đây, nếu không, bạn sẽ phải ký lại tất cả các chứng chỉ thực thể cuối với CA cấp dưới được khóa lại.
Trong cả hai trường hợp, bạn sẽ cần phân phối chứng chỉ Root CA mới của mình cho tất cả các bên phụ thuộc và định cấu hình tất cả họ để tin cậy chuỗi mới này.
Tùy thuộc vào quy mô bất động sản của bạn, đây có thể là một công việc khá lớn. Trong cả hai kịch bản:
- Bạn nhập lại Root CA một lần;
- Chủ sở hữu dịch vụ/ứng dụng của bạn sẽ cần định cấu hình lại dịch vụ của họ để sử dụng chứng chỉ CA thay thế trong chuỗi;
- Bạn sẽ cần phân phối Root CA cho tất cả các bên phụ thuộc;
Nếu bạn không chọn CA cấp dưới, bạn sẽ cần đăng nhập lại tất cả các chứng chỉ thực thể cuối cùng.
1 Ký lại có nghĩa là chứng chỉ được CA ký lại đơn giản. Thuộc tính duy nhất sẽ thay đổi là chữ ký và tùy chọn ngày phát hành/ngày hết hạn.
2 Khóa lại có nghĩa là một cặp khóa mới được tạo cho chứng chỉ và chứng chỉ được ký lại bởi CA. Không có thuộc tính nào khác ngoài khóa công khai và tùy chọn ngày phát hành/ngày hết hạn thay đổi.
