我正在为我的网络运行自己的 CA,只是为了将其安装到浏览器中,这样我就可以查看服务器是否仍然具有我创建的证书(粗俗:带有绿色锁)。
当然,更新 OpenSSL 后,我必须撤销所有证书,而且为了万无一失,我还想撤销我的根证书。问题是:如何在不创建全新 CA 的情况下执行此操作?我是否可以为我的 CA 创建新证书?
答案1
您不能这样做,但也没有理由这样做。除非您出于某种奇怪的原因,在暴露于互联网的机器上,在支持 TLS 的服务上,也使用 CA 证书和密钥作为实际的服务授权证书,否则它不太可能受到损害。
你会注意到,在发布后的疯狂更新中心血,我们还没有看到的一件事是所有大型认证机构都撤销他们的根,并发布新的根。
答案2
通常情况下,您不应将顶级根证书保存在在线的机器上。您应该拥有一个完全离线保存的根证书(例如保存在一两个 USB 上),并拥有用于签署其他证书的中间证书。这样,如果出现更严重的安全漏洞,您可以撤销部分或全部中间 CA 并颁发新的证书。