我即将重新生成我的CA证书(由OpenSSL维护),主要用于为客户提供OpenVPN访问Intranet的权限。
我的问题是关于这个 – “证书颁发机构根证书到期和更新”。 Shane Madden提供的一个很好的答复解释说,对由特定CA签名的证书的信任实际上取决于CA私钥的签名,并且如果CA自己的证书被replace,信任链不会被破坏该新证书已由相同的私钥签名。
问题是我主要使用我的CA为OpenVPN客户端生成证书。 每个客户端都会收到捆绑了客户端证书和密钥的PKCS#12文件以及 CA证书,以便客户端能够信任OpenVPN服务器的证书。 反过来,服务器被告知读取为客户端捆绑的相同的CA证书。
所以我的问题是:如果我replaceCA证书,以便OpenVPN服务器立即看到它,而客户端将PKCS#12捆绑包中的旧CA证书,客户仍然会信任服务器的证书?
或者我应该采取另一条路线,像这样走?
据推测,这将使客户挑他们认为合适的CA证书,但我不知道。
对于我应该采取的处理我的情况的策略,我将不胜感激。