Yo! 服务器

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器

证书颁发机构根证书到期和更新

2004年,我在Linux上build立了一个使用OpenSSL的小型authentication机构,以及OpenVPN提供的简单pipe理脚本。 根据我当时find的指南,我将根CA证书的有效期设置为10年。 从那时起,我已经为OpenVPN隧道,网站和电子邮件服务器签了许多证书,这些证书的有效期也是10年(这可能是错误的,但当时我不太清楚)。 我发现了许多关于build立一个CA的指南,但是关于它的pipe理的信息却很less,特别是当根CA证书到期时要做什么,这在2014年会发生一些。所以我有以下问题: 在根CA证书到期后有效期延长的证书是否会在后者过期后立即失效,还是继续有效(因为在CA证书的有效期内签名)? 需要进行哪些操作来更新根CA证书,并确保平稳过渡到期? 我可以用不同的有效期重新签署当前的根CA证书,并将新签名的证书上传到客户端,以便客户端证书保持有效? 还是我需要用新的根CA证书签名来replace所有的客户端证书? 何时更新根CA证书? 接近到期还是到期前的合理时间? 如果更新根CA证书成为主要工作,那么我现在可以做些什么来确保在下一次更新时顺利过渡(当然,将有效期限定为100年)? 这种情况稍微复杂一些,因为我只能通过OpenVPN隧道访问某些客户端,而使用当前CA证书签名的证书,所以如果我必须更换所有客户端证书,则需要复制把新的文件传给客户端,重新启动隧道,交叉手指,希望事后出现。