Con el tiempo, es posible que deba migrar su CA de su algoritmo de firma original a uno más complejo, como migrar de SHA1 a SHA2. A continuación, se ofrecen instrucciones paso a paso para cambiar el algoritmo de firma.

Tenga en cuenta que lo siguiente no cubre la modificación del algoritmo de los certificados emitidos por su CA; para ello, solo necesita editar el perfil de certificado correspondiente. En su lugar, cubre el certificado de una CA autofirmada.

Paso 1: Clonar el perfil del certificado antiguo

En la interfaz de usuario de CA EJBCA, seleccione Perfiles de certificado y haga clic en Clonar en el perfil de certificado que la CA utiliza actualmente para sus propios certificados.

Paso 2: Cambiar de CA para utilizar el nuevo perfil de certificado

Desde la consola CLI, realice la siguiente operación para cambiar la CA para utilizar el nuevo perfil de certificado:

 $ /opt/ejbca/bin/ejbca .sh ca changecertprofile --caname "My Root CA" --certprofile "My New Certificate Profile"

Reemplace los valores entre comillas con los nombres adecuados.

Paso 3: Configurar el nuevo perfil de certificado

Para configurar el nuevo perfil de certificado:

En la interfaz de usuario de CA EJBCA, seleccione Perfiles de certificado y haga clic en Editar en su nuevo perfil.
En Algoritmo de firma , seleccione el nuevo algoritmo de firma deseado.

Paso 4: Renovar el certificado de CA

Para renovar el certificado CA:

En la interfaz de usuario de CA EJBCA, seleccione Autoridades de certificación y haga clic en Editar CA para su CA raíz.
En Ciclo de vida de CA > Renovar CA , verifique que se esté utilizando la clave existente y desmarque la opción Crear certificado de vínculo .
Haga clic en Renovar CA y confirme la operación de renovación.