答案1
我做了什么:
升级easy-rsa,确保我正确使用
.cnf
文件:cd /path/to/myEasyRsaDir grep md openssl.cnf
这必须打印类似的内容
default_md = sha256 # use public key default MD
重命名旧
keys
目录,然后创建新目录:my keys oldkeys mkdir keys . vars mv -i oldkeys/*.key keys/
更新创建新的根 CA 证书:
openssl x509 -in oldkeys/ca.crt -out keys/ca.crt -signkey keys/ca.key
更新服务器证书:
两个步骤:构建证书签名请求(客户端):
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -extensions server -out keys/server.csr
并使用 CA 密钥签署证书:
openssl ca -batch -out keys/server.pem -in keys/server.csr \ -extensions server -config $KEY_CONFIG -keyfile keys/ca.key
然后你可以删除
.csr
文件rm keys/server.csr
然后你可以升级每个客户端,与服务器相同:
两个步骤,第一步可以由客户自己完成:
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -out keys/server.csr
并且从
.csr
文件:使用 CA 密钥签署证书:openssl ca -batch -out keys/server.pem -in keys/server.csr \ -config $KEY_CONFIG -keyfile keys/ca.key rm keys/server.csr