Я обновляю сертификат SSL с подстановочными знаками. Самый простой вариант - использовать мой существующий закрытый ключ и с его помощью создать новый CSR. Есть ли причина (при условии, что мой закрытый ключ не был взломан) приложить дополнительные усилия и сгенерировать новый закрытый ключ?
Если ваши ключи достаточно надежны для выполнения требований безопасности ЦС, которые вы собираетесь использовать, нет веских криптографических причин для повторного создания ключей. С другой стороны, создание новых ключей при создании CSR занимает всего минуту, и считается хорошей практикой регулярно удалять старые ключи, если они были скомпрометированы.
Влияние неприятностей, например, когда Debian сломал OpenSSL уменьшается при регулярной замене ключей. В среде с высокой степенью безопасности вы генерируете ключи в надежной системе с доступом к высококачественному случайному источнику, но большинство людей не беспокоит.
Если вам нужно развернуть закрытый ключ в ненадежной / частично доверенной среде, рекомендуется каждый раз создавать новый. Несколько закрытых ключей вместо сертификатов с подстановочными знаками используются для минимизации рисков компрометации ключей, поэтому безопасность только одной службы оказывается под угрозой, а не все.