O que eu fiz:
-
Atualizando easy-rsa , garantindo que eu esteja usando corretamente o arquivo
.cnf:cd /path/to/myEasyRsaDir grep md openssl.cnfIsso deve imprimir algo como
default_md = sha256 # use public key default MD -
Renomeie seu antigo
keysdir e crie um novo:my keys oldkeys mkdir keys . vars mv -i oldkeys/*.key keys/ -
Atualizando a criação de novo certificado de CA raiz:
openssl x509 -in oldkeys/ca.crt -out keys/ca.crt -signkey keys/ca.key -
Atualizando o certificado do servidor:
Duas etapas: criação de solicitação de assinatura de certificado (lado do cliente):
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -extensions server -out keys/server.csre assinando o certificado com a chave CA:
openssl ca -batch -out keys/server.pem -in keys/server.csr \ -extensions server -config $KEY_CONFIG -keyfile keys/ca.keyentão você pode soltar
.csrfilerm keys/server.csr -
Então você pode atualizar cada cliente, mesmo que servidor:
Dois passos, o primeiro pode ser feito pelo próprio cliente:
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -out keys/server.csre, do arquivo
.csr: assinando o certificado com a chave CA:openssl ca -batch -out keys/server.pem -in keys/server.csr \ -config $KEY_CONFIG -keyfile keys/ca.key rm keys/server.csr