Antecedentes: tengo mi propio certificado autoritativo que me generé para firmar los certificados de los servicios que mis amigos y yo usamos, incluido el servidor web, ircd, etc. Es conveniente porque no tengo que gastar dinero en firmar mi certificado entre los que la usan, la garantía de seguridad es bastante completa.
Advertencia: al ser un poco más noble de lo que era ahora, configuré mi CA para que expirara después de un año. Esto fue hace unos 10 meses. La clave privada es RSA de 4096 bits y el certificado es autofirmado con SHA512, por lo que debería permanecer seguro durante todo el tiempo que lo necesite, siempre y cuando no pierda la clave privada.
Pregunta: Sé que puedo generar un nuevo certificado a partir de la clave privada con una fecha de vencimiento más larga (por ejemplo, dentro de 100 años para los fines de esta discusión). ¿El reemplazo sería un proceso tan simple como la sustitución del certificado extendido recién generado a todos los clientes? ¿Aceptarían los subcertificados como de confianza, siempre que actualizaran sus copias almacenadas de la CA para reflejar la nueva fecha de vencimiento? ¿Podría omitir la regeneración de todos los certificados intermedios siempre y cuando el par de llaves y la huella digital de la CA permanezcan iguales?