Я собираюсь регенерировать сертификат моего ЦС (поддерживаемый OpenSSL), который в основном используется для предоставления доступа OpenVPN к интрасети для моих клиентов.
Мой вопрос связан с вот этот - «Истечение срока действия и продление корневого сертификата удостоверяющего центра». Отличный ответ на это предоставил Шейн Мэдден объясняет, что доверие к сертификатам, подписанным конкретным ЦС, на самом деле основывается на подписи закрытого ключа ЦС, и поэтому при замене собственного сертификата ЦС цепочка доверия не нарушается при условии, что новый сертификат был подписан тем же закрытый ключ.
Проблема в том, что я в основном использую свой CA для генерации сертификатов для клиентов OpenVPN; каждый клиент получает файл PKCS # 12, который объединяет сертификат клиента и ключ, и сертификат CA, чтобы клиент мог доверять сертификату сервера OpenVPN. Серверу, в свою очередь, предлагается прочитать тот же сертификат CA, который поставляется в комплекте для клиентов.
Итак, мой вопрос: если я заменю сертификат CA, чтобы сервер OpenVPN сразу увидел его, в то время как клиенты будут иметь старый сертификат CA в своих пакетах PKCS # 12, будут ли клиенты по-прежнему доверять сертификату сервера?
Или мне выбрать другой маршрут и пойти вот так?
Предположительно, это заставит клиентов выбрать любой сертификат CA, который они считают подходящим, хотя я не уверен.
Буду признателен за любой совет по поводу стратегии, которую я должен использовать, чтобы справиться с моей ситуацией.