您不需要生成新密钥，除非您愿意或密钥已被泄露（但希望如果您知道他们的密钥已被泄露，您早就更换了它）。

大多数 CA 将允许您重新颁发具有相同主题的证书，只需更新到期日期即可。

您首先需要遵循与购买证书相同的步骤，包括生成一个新的（但不一定更长）密钥对。

证书过期部分是因为认证公司喜欢常规业务，但主要是因为在最终用户的网络浏览器中没有很好的撤销被泄露证书的流程，所以证书上有一个过期日期至少意味着它不能被滥用如果它受到损害，则无限期地进行。

证书必须更新，因为它有到期日期。当证书过期时，客户端将拒绝再使用它（在 Web 的上下文中，浏览器在这种情况下会显示一个可怕的警告）。

那么问题来了：为什么证书上有有效期？从理论上讲，这是一种保持撤销列表较小的方法。一个证书吊销列表（CRL）指定由给定CA颁发的所有证书，而且必须不能再使用了，即使他们“看OK”。吊销是“取消”证书的行为。例如，如果私钥被泄露（被盗），则合法的密钥所有者会通知 CA，然后 CA通过将其包含在其定期发布的 CRL 中来撤销证书 - 以便客户端停止接受相应的证书。通过构建，CRL 只能增长（就像非救世主的人一样，证书会死然后一直死），所以设计了一个技巧：过期的证书不需要包含在 CRL 中（如果证书过期，客户端将不会使用它——他们不需要知道它是否也被撤销）。这可以检查 CRL 大小，因为旧条目因此被删除。

这就是关于到期日的理论。至于实践，Peter Gutmann 在他的X.509 风格指南中提供了以下替代解释：

此字段表示您必须向 CA 支付续订费用以重新颁发证书的时间。

第三种解释是更新允许 CA 迁移事物。例如，可以下载 CRL 的 URL 写在证书本身中；如果证书永不过期，则该 URL 必须是永恒的——对于企业而言，永恒有点长。

您选择相信哪种解释，取决于您。

至于续订操作的细节，它们确实依赖于 CA。CA 建立一个与旧证书相同的新证书在概念上是不可能的，除了到期日期、签名并将其发送给您。这甚至不需要您采取任何行动。但是，某些 CA 会希望您提供更多，甚至可能需要生成新的密钥对（就像您在获得第一个证书时所做的那样）。如果 CA 对密钥长度有严格的策略并且旧密钥不再符合该策略，则CA可能需要更长的密钥。理论上，强制最小密钥长度不是 CA 的工作（客户端应该在每个实例的基础上做出决定），但实际上 CA会授权密钥类型和长度。CA 可能还需要生成新的密钥，以防他们没有执行特定的更新操作。

为什么首先需要更新证书？

发生这种情况是因为：

• 你丢失了你的私钥
• 你的私钥被盗了
• 您希望自己撤销证书的旧实例
• 您的证书已到期
• 保护您的私钥的密码已泄露
• 您以某种方式滥用了您的实际证书

我需要生成一个新的更长的公钥私钥对吗？

不会。除非您的 CA 出于某种原因要求您这样做。

如果我在网络服务器上部署了数字证书并且需要更新，那么我需要遵循哪些步骤？

这一切都取决于您的 CA，但通常您自己无事可做。