Re: Перегенерация кореневого сертификата
Eugene Berdnikov -> debian-russian@lists.debian.org @ Thu, 24 May 2012 16:22:25 +0400:
>> Подходит время на expire кореневого сертификата. Как можно
>> безболезненно перегенерировать новый?
EB> openssl req -key root.key -out newroot.csr
EB> openssl ca -in newroot.csr ...
EB> И, помнится, это был не единственный способ с openssl.
EB> Перед этим очистить базу сертификатов от старого корневого,
EB> чтобы обойти защиту от дублирования.
Надо сказать, по клиентам все равно раскидан старый, который
благополучно заэкспайрится. По крайней мере новый надо будет на них
раскидывать. Ну и, в общем, надо проверить, будут ли подписи, сделанные
на старом, проверяться на новом. Теоретически да, а практически я не
помню, будет ли у нового в точности такой же идентификатор.
Reply to: