相关疑难解决方法(0)

2004 年，我在 Linux 上使用 OpenSSL 和 OpenVPN 提供的简单管理脚本建立了一个小型证书颁发机构。按照我当时找到的指南，我将根CA证书的有效期设置为10年。从那时起，我为OpenVPN隧道、网站和电子邮件服务器签署了许多证书，所有这些证书的有效期也都是10年（这可能是错误的，但当时我并不知道更好）。

我找到了很多关于设置 CA 的指南，但关于它的管理的信息很少，特别是关于根 CA 证书到期时必须做的事情，这将在 2014 年的某个时候发生。所以我有以下内容问题：

• 根CA证书到期后有效期延长的证书会在根CA证书到期后立即失效，还是继续有效（因为它们是在CA证书有效期内签署的）？
• 需要进行哪些操作来更新根 CA 证书并确保其在到期后平稳过渡？
  • 我能否以某种方式重新签署具有不同有效期的当前根 CA 证书，并将新签署的证书上传到客户端，以便客户端证书保持有效？
  • 或者我是否需要用新的根 CA 证书签名的新证书替换所有客户端证书？
• 什么时候应该更新根 CA 证书？即将到期，还是到期前的合理时间？
• 如果根CA证书的更新成为一项主要工作，我现在可以做些什么来确保在下一次更新时更平稳地过渡（当然，有效期不能设置为100年）？

由于我对某些客户端的唯一访问是通过使用当前 CA 证书签名的证书的 OpenVPN 隧道，因此情况稍微复杂一些，因此如果我必须替换所有客户端证书，我将需要复制将新文件发送到客户端，重新启动隧道，交叉我的手指并希望它随后出现。