Estou executando uma CA própria para minha rede, apenas para instalá-la no navegador, para que eu possa ver se um servidor ainda tem o certificado que eu criei (vulgar: ter o cadeado verde).
É claro que eu tive que revogar todos os meus certificados depois de atualizar o OpenSSL e ficar completamente paranóico, eu também quero revogar meu certificado raiz. A questão é: como estou fazendo isso sem criar uma CA totalmente nova? É possível criar um novo certificado para minha CA?
Você não pode fazer isso, mas não há motivo para isso. A menos que você, por algum motivo estranho, também tenha usado o certificado e chave de CA como um certificado de autorização de serviço real, em uma máquina exposta à Internet, em um serviço que suporte TLS, provavelmente não foi comprometido.
Você notará que, na enxurrada de atualizações após o heartbleed , uma coisa que não vimos é que todas as grandes agências de certificação revogam suas raízes e publicam novas.
Normalmente, você não deve manter seu certificado raiz superior em uma máquina on-line. Você deve ter um certificado raiz mantido totalmente off-line (como em um stick USB ou 2) e ter certificados intermediários que você usa para assinar seus vários outros. Dessa forma, no caso de uma violação de segurança mais séria, você pode revogar algumas ou todas as CAs intermediárias e emitir novas.