如何更改根 CA 證書？

我正在為我的網路執行一個自己的 CA，只是為了將它安裝到瀏覽器中，以便我可以查看伺服器是否仍然具有我創建的證書（粗俗：有綠色鎖）。

當然，我只需要在更新 OpenSSL 後吊銷我的所有證書並且完全偏執，我還想吊銷我的根證書。問題是：我如何在不創建全新 CA 的情況下做到這一點？這甚至可以為我的 CA 創建新證書嗎？

你不能這樣做，但沒有理由這樣做。除非您出於某種奇怪的原因，還在暴露於 Internet 的機器上、在支持 TLS 的服務上使用 CA 證書和密鑰作為實際的服務授權證書，否則它不太可能受到損害。

你會注意到，在心臟出血後的瘋狂更新中，我們沒有看到的一件事是所有大型認證機構都撤銷了他們的根，並發布了新的。

通常，您不應將頂級根證書保存在線上的機器上。您將擁有一個完全離線的根證書（例如在 USB 記憶棒或 2 上），並擁有用於簽署其他各種證書的中間證書。這樣，如果出現更嚴重的安全漏洞，您可以撤銷部分或全部中間 CA 並發布新的 CA。

引用自：https://serverfault.com/questions/588887