Я использую собственный центр сертификации для своей сети, просто чтобы он был установлен в браузере, чтобы я мог видеть, есть ли на сервере сертификат, который я создал (вульгарно: наличие зеленого замка).
Конечно, мне просто пришлось отозвать все свои сертификаты после обновления OpenSSL, и, чтобы быть полностью параноиком, я также хочу отозвать свой корневой сертификат. Возникает вопрос: как мне это сделать, не создавая совершенно новый центр сертификации? Можно ли вообще создать новый сертификат для моего центра сертификации?
Вы не можете этого сделать, но для этого нет причин. Если вы по какой-то странной причине не использовали сертификат и ключ CA в качестве действительного сертификата авторизации службы на компьютере, подключенном к Интернету, в службе, поддерживающей TLS, вряд ли он был скомпрометирован.
Вы заметите, что в безумном шквале обновлений пост-сердце, мы еще не видели, чтобы все крупные сертификационные агентства отменили свои корни и опубликовали новые.
Обычно вы не должны хранить свой верхний корневой сертификат на подключенной к сети машине. У вас должен быть корневой сертификат, который хранится полностью автономно (например, на USB-накопителе или 2), и промежуточные сертификаты, которые вы будете использовать для подписи других. Таким образом, в случае более серьезного нарушения безопасности вы можете отозвать некоторые или все промежуточные центры сертификации и выпустить новые.