Я настроил небольшой центр сертификации X.509 для внутреннего использования в моей сети. Теперь я хочу продлить сертификат и узнать, как мне это сделать.
Renewing the same private key when it's getting close to expiration is the exact same as renewing password that's getting close to expiration. If the password/key isn't compromised, then you're not doing anything wrong.
But "best practice" would tell us that one doesn't always know if a password/key has been quietly compromised, and thus it is best to follow expiration and replacement policies.
Обычно рекомендуется размещать старый сертификат в CRL и создавать новый с нуля. Я бы ничего не использовал повторно, просто плохая практика imho. В некоторых случаях вы можете избежать повторного использования разных битов, но я считаю, что проблема с моделью доверия сертификата.
Если вы говорите о корневом сертификате, я делаю его в течение ДЕЙСТВИТЕЛЬНО долгого времени при настройке частных ЦС.
Не дублируйте ни пару ключей, ни серийный номер.
Если сертификат аннулирован, он идентифицируется в списке отзыва сертификатов (CRL) по его серийному номеру. Если вы хотите иметь возможность отозвать старый, сохранив новый, не используйте серийный номер повторно.