当客户端将 CA 证书捆绑在 PKCS#12 容器中时,如何正确替换 CA 证书?

当客户端将 CA 证书捆绑在 PKCS#12 容器中时,如何正确替换 CA 证书?

我即将重新生成我的 CA 证书(由 OpenSSL 维护),主要用于为我的客户提供对内联网的 OpenVPN 访问。

我的问题与这个— “认证机构根证书到期和续订”。对此的出色答复来自肖恩·马登解释说,对特定 CA 签名的证书的信任实际上在于该 CA 的私钥签名,因此,如果 CA 自己的证书被替换,只要新证书是由相同的私钥签名的,信任链就不会中断。

问题是我主要使用我的 CA 为 OpenVPN 客户端生成证书;每个客户端都会收到一个 PKCS#12 文件,该文件捆绑了客户端的证书和密钥,CA 证书,以便客户端能够信任 OpenVPN 服务器的证书。反过来,服务器被告知读取为客户端捆绑的相同 CA 证书。

所以我的问题是:如果我替换 CA 证书,以便 OpenVPN 服务器将立即看到它,而客户端将在其 PKCS#12 包中拥有旧的 CA 证书,客户端是否仍然信任服务器的证书?

或者我应该选择另一条路线,像这样走?

  1. 重新生成 CA 证书但推迟其部署。
  2. 为每个客户端重新生成并重新部署 PKCS#12 包,包括两个都有效 CA 证书和新证书。
  3. 最后在服务器上部署新的CA证书。

据推测,这将使客户选择他们认为合适的任何 CA 证书,但我不确定。

我将非常感激任何有关我应该采用什么策略来处理我的情况的建议。

相关内容