Azt hiszem megvan a megoldás, és igencsak egyszerű...

openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key -sha256

Azután a ca.key -t bármilyen sorrendben le lehet cserélni. Lehet a szerveren először, majd utána a klienseken szép sorban, vagy fordítva, a meglévő kapcsolatok működőképesek maradnak.

Csak nem szabad megvárni a cert lejártát, mert utána kakukk.

A szerver cert-ről se feledkezzünk meg, általában egyszerre készül a root certtel:

openssl ca -days 3650 -out server_new.crt -in server.csr -extensions server -md 
sha256 -config openssl.cnf

Aztán a kliensek szép sorban:

openssl ca -days 3650 -out client_new.crt -in client.csr -md sha256 -config 
openssl.cnf


Kipróbáltam egy vadiúj és egy 10 éves konfiggal és működik.

Ez egy hasznos oldal a témában:

http://geroyblog.blogspot.hu/2017/01/openvpn-renew-expired-ca-revoke.html


Köszönöm mindenkinek a segítséget!


                                                                -Sygma
_________________________________________________
linux lista      -      linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

válasz