Estou prestes a gerar novamente um certificado da minha CA (mantido pelo OpenSSL) usado principalmente para fornecer acesso do OpenVPN à intranet para meus clientes.
Minha pergunta está relacionada a este - "Expiração e renovação do certificado raiz da autoridade de certificação". Uma excelente resposta a ele fornecida por Shane Madden explica que a confiança em certificados assinados por um CA em particular assinatura da chave privada da CA e, assim, se o próprio certificado da CA for substituído, a cadeia de confiança não será quebrada, desde que o novo certificado tenha sido assinado pela mesma chave privada.
O problema é que estou usando principalmente minha CA para gerar certificados para clientes OpenVPN; cada cliente recebe um arquivo PKCS # 12 que agrupa o certificado do cliente e a chave, e o certificado da autoridade de certificação, para que o cliente possa confiar no certificado do servidor OpenVPN. O servidor, por sua vez, é instruído a ler o mesmo certificado de CA que é empacotado para os clientes.
Portanto, minha pergunta é: se eu substituir o certificado de CA para que o servidor OpenVPN o veja imediatamente enquanto os clientes terão o certificado de CA antigo em seus pacotes PKCS # 12, os clientes ainda confiarão no certificado do servidor?
Ou eu deveria tomar outro caminho e seguir assim?
Presumivelmente, isso fará com que os clientes escolham qualquer certificado de CA que julguem adequado, embora não tenha certeza.
Gostaria de receber qualquer conselho sobre a estratégia que devo empregar para lidar com minha situação.