我即将重新生成我的 CA 证书(由 OpenSSL 维护),主要用于为我的客户提供对内联网的 OpenVPN 访问。
我的问题与这个— “认证机构根证书到期和续订”。对此的出色答复来自肖恩·马登解释说,对特定 CA 签名的证书的信任实际上在于该 CA 的私钥签名,因此,如果 CA 自己的证书被替换,只要新证书是由相同的私钥签名的,信任链就不会中断。
问题是我主要使用我的 CA 为 OpenVPN 客户端生成证书;每个客户端都会收到一个 PKCS#12 文件,该文件捆绑了客户端的证书和密钥,和CA 证书,以便客户端能够信任 OpenVPN 服务器的证书。反过来,服务器被告知读取为客户端捆绑的相同 CA 证书。
所以我的问题是:如果我替换 CA 证书,以便 OpenVPN 服务器将立即看到它,而客户端将在其 PKCS#12 包中拥有旧的 CA 证书,客户端是否仍然信任服务器的证书?
或者我应该选择另一条路线,像这样走?
- 重新生成 CA 证书但推迟其部署。
- 为每个客户端重新生成并重新部署 PKCS#12 包,包括两个都有效 CA 证书和新证书。
- 最后在服务器上部署新的CA证书。
据推测,这将使客户选择他们认为合适的任何 CA 证书,但我不确定。
我将非常感激任何有关我应该采用什么策略来处理我的情况的建议。