Das Auslaufen meines self-signed CA Zertifikates konfrontierte mich mal wieder mit dem openssl CLI und seinen Tücken.
Ausgehend von einer theoretischen Betrachtung sind nur wenige Schritte notwendig um ein CA Zertifikat zu verlängern, was eigentlich bedeutet es in einer erneuerten Version herauszugeben.
- Unter Berücksichtigung des private keys der CA erstellt man ein Certificate Request.
- Dies wird mit dem private key der CA signiert und erstellt somit ein neues CA Zertifikat.
- Dann überprüft man ob schon vormals ausgestellte Server-Zertifikate vom neuen CA Zertifikat akzeptiert werden.
- Das neue CA Zertifikat wird auf die Zielplattformen geladen.