Что я сделал:
Обновление easy-rsa, обеспечивающее правильное использование
.cnfфайла:cd /path/to/myEasyRsaDir grep md openssl.cnfЭто должно напечатать что-то вроде
default_md = sha256 # use public key default MDПереименуйте свой старый
keysкаталог, затем создайте новый:my keys oldkeys mkdir keys . vars mv -i oldkeys/*.key keys/Обновление создания нового корневого CA-сертификата:
openssl x509 -in oldkeys/ca.crt -out keys/ca.crt -signkey keys/ca.keyОбновление сертификата сервера:
Два шага: создание запроса на подпись сертификата (на стороне клиента):
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -extensions server -out keys/server.csrи подписание сертификата с ключом CA:
openssl ca -batch -out keys/server.pem -in keys/server.csr \ -extensions server -config $KEY_CONFIG -keyfile keys/ca.keyтогда вы могли бы сбросить
.csrфайлrm keys/server.csrЗатем вы можете обновить каждого клиента, так же, как сервер:
Два шага, первый может быть сделан самим клиентом:
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -out keys/server.csrи, из
.csrфайла: подписание сертификата с ключом CA:openssl ca -batch -out keys/server.pem -in keys/server.csr \ -config $KEY_CONFIG -keyfile keys/ca.key rm keys/server.csr