CA証明書（ルート証明書）の期限

[nao yama]

初投稿になります。

山下と申します。

約10年前にOpenVPNサーバーを構築し、サーバー２台体制で運用しています。

サーバーはRHEL6.9、OpenVPNは2.4.5です（サポートの問題はありますが・・）。

（サーバー自体は２回移設しています）

CA証明書（ルート証明書）は10年で作っていたのですが、その期限が来年(2021年)の10月になっており

そろそろ正式に対応を開始しないとまずい時期になってまいりました。

※ユーザーが500程いますので、それくらいの期間で考えないと危険だと思っています。

CA証明書の再作成（または期限延長）に関してはあまり明確な情報が手に入らず、

こちらの皆様のお知恵をお借り出来たら有難いです。

主として知りたいのは下記です。

「一般的に、CA証明書の期限が切れる場合は全てのサーバー、クライアント証明書も

　再作成しないといけないものなのでしょうか」

という事です。

理想的には、サーバー証明書やクライアント証明書はそのままに、CA証明書だけを

同じCA局秘密鍵で再作成して乗り切りたいところです。

ただ、

openssl req -days 3650 -nodes -new -x509 -key ca.key -out ca2.crt -config openssl.cnf

で作成した証明書では、従来のサーバー証明書と照合すると

コマンド：openssl verify -CAfile ca2.crt -verbose server.crt

結果：server.crt: C = JP, ST = *****, O = "*****", CN = *****

　　　error 20 at 0 depth lookup:unable to get local issuer certificate

となってしまい、失敗しました（*****は省略部分です）。

上記は現在のCA証明書で行うとOKになりますので、正直困っております。

全てを再作成しか出来ないと決まればそれで進めるしかないのですが、そこがはっきり

しないので、どなたかご存知であれば経験談などご教示いただけると幸いです。

どうぞよろしくお願いいたします。

[nao yama]

山下です。

自己回答になりますが、すべて再作成することにしました。

２台のサーバーを

　新しい証明書

　現行の証明書

で、それぞれ稼働させ、DNSの調整で現行ユーザーを 現行の証明書のサーバーに集めました。

現在は新しい証明書＋新証明書のサーバー用のFQDNを記載したをovpnファイルを

地道に全ユーザーに配布しているところです。

問題なく運用が進みそうです。

ご確認くださった方々、ありがとうございました。