Openssl
如何更改根 CA 證書?
我正在為我的網路執行一個自己的 CA,只是為了將它安裝到瀏覽器中,以便我可以查看伺服器是否仍然具有我創建的證書(粗俗:有綠色鎖)。
當然,我只需要在更新 OpenSSL 後吊銷我的所有證書並且完全偏執,我還想吊銷我的根證書。問題是:我如何在不創建全新 CA 的情況下做到這一點?這甚至可以為我的 CA 創建新證書嗎?
你不能這樣做,但沒有理由這樣做。除非您出於某種奇怪的原因,還在暴露於 Internet 的機器上、在支持 TLS 的服務上使用 CA 證書和密鑰作為實際的服務授權證書,否則它不太可能受到損害。
你會注意到,在心臟出血後的瘋狂更新中,我們沒有看到的一件事是所有大型認證機構都撤銷了他們的根,並發布了新的。
通常,您不應將頂級根證書保存在線上的機器上。您將擁有一個完全離線的根證書(例如在 USB 記憶棒或 2 上),並擁有用於簽署其他各種證書的中間證書。這樣,如果出現更嚴重的安全漏洞,您可以撤銷部分或全部中間 CA 並發布新的 CA。