如何更改根CA证书?

我正在为我的networking运行一个自己的CA,只是为了将它安装到浏览器中,以便我可以看到一个服务器是否仍然有我创build的证书(低俗:有绿色锁)。

当然,我只是在更新OpenSSL之后不得不撤销所有的证书,而且完全是偏执狂,我也想撤销我的根证书。 问题是:我怎么做,而不创build一个全新的CA? 这甚至有可能为我的CA创build一个新的证书?

你不能这样做,但没有理由。 除非出于某种奇怪的原因,否则,在支持TLS的服务上,使用CA证书和密钥作为实际的服务授权证书,暴露于互联网的机器上,则不太可能受到威胁。

你会注意到,在这个令人振奋的更新的疯狂乱舞中,我们没有看到的一件事就是所有的大型authentication机构撤销其根源,并发布新的authentication机构。

通常情况下,你不应该保留在一台在线机器上的顶级根证书。 你应该有一个完全离线的根证书(比如一个U盘或者2),并且有你用来签名你的其他证书的中间证书。 这样,如果出现更严重的安全漏洞,可以撤销部分或全部中间CA并发布新的CA。