Azt hiszem megvan a megoldás, és igencsak egyszerű...
openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key -sha256
Azután a ca.key -t bármilyen sorrendben le lehet cserélni. Lehet a
szerveren először, majd utána a klienseken szép sorban, vagy fordítva, a
meglévő kapcsolatok működőképesek maradnak.
Csak nem szabad megvárni a cert lejártát, mert utána kakukk.
A szerver cert-ről se feledkezzünk meg, általában egyszerre készül a root
certtel:
openssl ca -days 3650 -out server_new.crt -in server.csr -extensions server -md
sha256 -config openssl.cnf
Aztán a kliensek szép sorban:
openssl ca -days 3650 -out client_new.crt -in client.csr -md sha256 -config
openssl.cnf
Kipróbáltam egy vadiúj és egy 10 éves konfiggal és működik.
Ez egy hasznos oldal a témában:
http://geroyblog.blogspot.hu/2017/01/openvpn-renew-expired-ca-revoke.html
Köszönöm mindenkinek a segítséget!
-Sygma
_________________________________________________
linux lista - linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux