当客户端将其绑定在PKCS#12容器中时,如何正确replaceCA证书?

我即将重新生成我的CA证书(由OpenSSL维护),主要用于为客户提供OpenVPN访问Intranet的权限。

我的问题是关于这个 – “证书颁发机构根证书到期和更新”。 Shane Madden提供的一个很好的答复解释说,对由特定CA签名的证书的信任实际上取决于CA私钥的签名,并且如果CA自己的证书被replace,信任链不会被破坏该新证书已由相同的私钥签名。

问题是我主要使用我的CA为OpenVPN客户端生成证书。 每个客户端都会收到捆绑了客户端证书和密钥的PKCS#12文件以及 CA证书,以便客户端能够信任OpenVPN服务器的证书。 反过来,服务器被告知读取为客户端捆绑的相同的CA证书。

所以我的问题是:如果我replaceCA证书,以便OpenVPN服务器立即看到它,而客户端将PKCS#12捆绑包中的旧CA证书,客户仍然会信任服务器的证书?

或者我应该采取另一条路线,像这样走?

  1. 重新生成CA证书,但推迟部署。
  2. 为每个客户端重新生成并重新部署PKCS#12捆绑包,包括活动CA证书和新的PKCS#12捆绑包。
  3. 最后在服务器上部署新的CA证书。

据推测,这将使客户挑他们认为合适的CA证书,但我不知道。

对于我应该采取的处理我的情况的策略,我将不胜感激。