Em 2004, criei uma pequena autoridade de certificação usando OpenSSL no Linux e os scripts de gerenciamento simples fornecidos com o OpenVPN. De acordo com os guias que encontrei na época, defini o período de validade do certificado CA raiz para 10 anos. Desde então, assinei muitos certificados para túneis OpenVPN, sites e servidores de e-mail, todos com validade de 10 anos (isso pode estar errado, mas eu não sabia melhor na época).
Encontrei muitos guias sobre como configurar uma CA, mas apenas muito pouca informação sobre seu gerenciamento e, em particular, sobre o que deve ser feito quando o certificado de CA raiz expirar, o que acontecerá em algum momento de 2014. Portanto, tenho o seguinte perguntas:
- Os certificados cujo período de validade se estende após a expiração do certificado da CA raiz se tornarão inválidos assim que este expirar ou continuarão válidos (porque foram assinados durante o período de validade do certificado da CA)?
- Quais operações são necessárias para renovar o certificado de CA raiz e garantir uma transição suave ao longo de sua expiração?
- Posso, de alguma forma, assinar novamente o certificado CA raiz atual com um período de validade diferente e carregar o certificado recém-assinado para os clientes para que os certificados do cliente permaneçam válidos?
- Ou preciso substituir todos os certificados de cliente por novos assinados por um novo certificado de CA raiz?
- Quando o certificado CA raiz deve ser renovado? Perto do vencimento ou um tempo razoável antes do vencimento?
- Se a renovação do certificado de CA raiz se tornar um trabalho importante, o que posso fazer melhor agora para garantir uma transição mais suave na próxima renovação (exceto definir o período de validade para 100 anos, é claro)?
A situação é um pouco mais complicada pelo fato de que meu único acesso a alguns dos clientes é através de um túnel OpenVPN que usa um certificado assinado pelo certificado CA atual, então se eu tiver que substituir todos os certificados do cliente, precisarei copiar os novos arquivos para o cliente, reinicie o túnel, cruze os dedos e torça para que apareça depois.