CA续订后的客户证书

时间:2018-11-08 13:15:32

标签: authentication ssl openssl ca

我有一个根CA,用于在当前工作的系统中同时生成服务器和客户端证书。

它即将到期,我正在尝试续订它而不更改任何服务器或客户端证书,但到目前为止我失败了。

为了续订CA,我使用了:

openssl req -new -key ca.key -out newcsr.csr
openssl x509 -req -days 3650 -in newcsr.csr -signkey ca.key -out newca.pem

然后,我用newca.pem替换了旧的CA证书。 我希望这足以使它正常工作,但不幸的是,它没有任何作用。

当尝试使用旧客户端证书(未过期)通过CuRL发送请求时,出现以下错误消息:

curl --cert clientcrt.pem --key clientkey.pem https://myserver/
  

(35)对等方不认可并信任发布您的CA   证书

(与旧CA相同的请求确实有效,因为它尚未过期)

我错过了哪些步骤? 还是您有我可能会寻找的错误原因的线索?

1 个答案:

答案 0 :(得分:0)

如果对任何人都有用,我最终通过将新CA的序列号设置为与旧CA的序列号相同的值来解决了这个问题:

openssl req -new -x509 -days 3650 -key ca.key -set_serial <oldserial> -out newca.pem

因此,我的客户端证书已由我的CA成功验证。