Dotaz: OpenSSL: prodloužení self-signed CA certifikátu

Zdravím,

potřeboval bych prodloužit živostnost CA self-signed certifikátu, kterým je podepsáno více distribuovaných certifikátů (nemohu tedy prostě vytvořit nový).

Jak na to? Zkusil jsem vytvořit nový request a poté vygenerovat certifikát nový se stejným serialem a stejnými údaji, ale Firefox píše, že Certifikát se nepodařilo z neznámých důvodů ověřit. Pomocí OpenSSL to ověřit lze:

# openssl verify ca_new.cer
error 18 at 0 depth lookup:self signed certificate
OK

Takto jsem postupoval:

# openssl req -new -key cakey.pem -out ca.csr
# openssl x509 -req -days 10950 -set_serial 0x00EAA0045FC193351A \
 -in ca.csr -signkey cakey.pem -out ca_new.cer

Zkusil jsem si vydiffovat, v čem se starý (původni) a nový CA certifikát liší a je to jen ve verzi (starý má X509v3, nový 509v1) a samotném hashi. Vše ostatní je stejné.

Jak vygenerovat certifikát s verzí x509v3?

Myslím si, že tohle není možné – můžete jedině vytvořit nový certifikát, ten podepsat tím starým, a tím novým znova podepsat ostatní certifikáty. Dva certifikáty s různými údaji (a datum platnosti je také takový údaj) nikdy nemohou být vyhodnoceny jako "stejné", to by byl zásadní bezpečnostní problém takového certifikačního systému.