Что я сделал:
Обновление easy-rsa, обеспечивающее правильное использование
.cnf
файла:cd /path/to/myEasyRsaDir grep md openssl.cnf
Это должно напечатать что-то вроде
default_md = sha256 # use public key default MD
Переименуйте свой старый
keys
каталог, затем создайте новый:my keys oldkeys mkdir keys . vars mv -i oldkeys/*.key keys/
Обновление создания нового корневого CA-сертификата:
openssl x509 -in oldkeys/ca.crt -out keys/ca.crt -signkey keys/ca.key
Обновление сертификата сервера:
Два шага: создание запроса на подпись сертификата (на стороне клиента):
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -extensions server -out keys/server.csr
и подписание сертификата с ключом CA:
openssl ca -batch -out keys/server.pem -in keys/server.csr \ -extensions server -config $KEY_CONFIG -keyfile keys/ca.key
тогда вы могли бы сбросить
.csr
файлrm keys/server.csr
Затем вы можете обновить каждого клиента, так же, как сервер:
Два шага, первый может быть сделан самим клиентом:
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -out keys/server.csr
и, из
.csr
файла: подписание сертификата с ключом CA:openssl ca -batch -out keys/server.pem -in keys/server.csr \ -config $KEY_CONFIG -keyfile keys/ca.key rm keys/server.csr