对于必须随处可用的内部使用的基于网络的软件,我创建了安装在授权消费者浏览器中的客户端证书。
现在,随着 2012 年的结束,所有这些都已过期并需要更新。我已经颁发了 PKCS #12 证书 (.p12)
这是我的问题
- 是否可以延长客户端证书的生命周期?
我必须在所有客户端上重新安装证书还是有其他方法(例如,从服务器集中安装,可能是某种更新机制)?
如何在 Linux 上使用 openssl 更新/重新生成客户端证书?
因为这可能很有趣,下面是我创建浏览器证书的方式
# client private key
openssl genrsa -des3 -out client.key 1024
# generate certificate signing request
openssl req -new -key client.key -out client.csr
# create certificate, sign with server key
openssl x509 -req -days 365 -in client.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out client.crt
# export into pkcs12
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12