
答案1
我做了什麼:
升級中簡易RSA,確保我正確使用
.cnf
文件:cd /path/to/myEasyRsaDir grep md openssl.cnf
這必須列印類似的東西
default_md = sha256 # use public key default MD
重新命名您的舊
keys
目錄,然後建立新目錄:my keys oldkeys mkdir keys . vars mv -i oldkeys/*.key keys/
更新建立新的根 CA 憑證:
openssl x509 -in oldkeys/ca.crt -out keys/ca.crt -signkey keys/ca.key
更新伺服器憑證:
兩個步驟:建置憑證簽署請求(客戶端):
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -extensions server -out keys/server.csr
並使用 CA 金鑰簽署憑證:
openssl ca -batch -out keys/server.pem -in keys/server.csr \ -extensions server -config $KEY_CONFIG -keyfile keys/ca.key
然後你可以刪除
.csr
文件rm keys/server.csr
然後你可以升級每個客戶端,與伺服器相同:
兩個步驟,第一個可以由客戶自己完成:
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -out keys/server.csr
並且,從
.csr
文件:使用 CA 金鑰簽署憑證:openssl ca -batch -out keys/server.pem -in keys/server.csr \ -config $KEY_CONFIG -keyfile keys/ca.key rm keys/server.csr