6
証明機関のルート証明書の有効期限と更新
2004年に、Linux上のOpenSSLとOpenVPNで提供されるシンプルな管理スクリプトを使用して小さな認証機関を設定しました。当時見つけたガイドに従って、ルートCA証明書の有効期間を10年に設定しました。それ以来、OpenVPNトンネル、Webサイト、および電子メールサーバー用の多くの証明書に署名しました。これらすべての有効期間も10年です(これは間違っていた可能性がありますが、当時はわかりませんでした)。 CAのセットアップに関する多くのガイドを見つけましたが、その管理に関する情報はほとんどなく、特に、ルートCA証明書の有効期限が切れたときに何をする必要があるかについてはほとんど情報がありません。質問: ルートCA証明書の有効期限が切れた後に有効期間が延長された証明書は、ルートCA証明書の有効期限が切れるとすぐに無効になりますか、それとも有効であり続けますか(CA証明書の有効期間中に署名されたため)? ルートCA証明書を更新し、その有効期限をスムーズに移行するには、どのような操作が必要ですか? 何らかの方法で現在のルートCA証明書を別の有効期間で再署名し、新しく署名した証明書をクライアントにアップロードして、クライアント証明書が有効なままになるようにすることはできますか? または、すべてのクライアント証明書を、新しいルートCA証明書によって署名された新しい証明書に置き換える必要がありますか? ルートCA証明書はいつ更新する必要がありますか?有効期限が近づいていますか、それとも有効期限前の妥当な時間ですか? ルートCA証明書の更新が主要な作業になった場合、次の更新(もちろん、有効期間を100年に設定するのではなく)でスムーズな移行を確実にするために、今より良い方法はありますか? 一部のクライアントへの唯一のアクセスは、現在のCA証明書によって署名された証明書を使用するOpenVPNトンネルを介しているため、すべてのクライアント証明書を置換する必要がある場合、コピーする必要があるため、状況は少し複雑になります新しいファイルをクライアントに送信し、トンネルを再起動し、指を交差させて、後でファイルが表示されることを願っています。