Я выполняю собственный CA для своей сети, только чтобы установить его в браузер, так, чтобы я видел, имеет ли сервер все еще сертификат, я создал (вульгарный: наличие зеленой блокировки).
Конечно, я просто должен был отменить все свои сертификаты после обновления OpenSSL и быть абсолютно параноидальным, я также хочу отменить свой корневой сертификат. Вопрос: как я делаю это, не создавая полностью новый CA? Это даже возможно создать новый сертификат для моего CA?
Вы не можете этого сделать, но для этого нет причин. Если только вы, по каким-то странным причинам, не использовали сертификат и ключ ЦС в качестве действительного сертификата, авторизующего службу, на машине, подключенной к интернету, на службе, поддерживающей TLS, это вряд ли будет скомпрометировано.
Вы заметите, что в сумасшедшем шквале обновлений после сердечного кровотечения, единственное, чего мы не видели, это то, что все крупные сертификационные агентства аннулируют свои корни и публикуют новые.
.Обычно вы не должны хранить верхний корневой сертификат на машине, находящейся в сети. Вы должны иметь корневой сертификат, который полностью отключен от сети (например, на USB-флешке или 2) и иметь промежуточные сертификаты, которые вы используете для подписи других пользователей. Таким образом, в случае более серьезного нарушения безопасности, вы можете отозвать некоторые или все промежуточные центры сертификации и выпустить новые.
.