Diga: creo un CSR con OpenSSL y lo envío a una CA raíz para que lo firme. Supongamos que el certificado fue emitido por 2 años. Dos años casi han terminado y el certificado está a punto de caducar. ¿Tengo que seguir teniendo la CSR original para ampliarla o cómo se maneja? ¿O obtendré un nuevo certificado después de estos 2 años?
Su CSR es esencialmente un envoltorio para su clave pública, junto con cierta información de identificación (dominio, nombre de la organización, ubicación, región, país, etc.) y una firma digital (usando su clave privada, verificable utilizando la clave pública que contiene)
La CA raíz que está utilizando para firmar determinará cuántos de estos campos son realmente necesarios; como mínimo, una CA solo extraerá la clave pública de su CSR, por lo que la respuesta realmente se reduce a verificar con su CA lo que necesitan. La mayoría de las CA que conozco admitirán una "renovación" de certificado (generando un nuevo certificado que es casi idéntico al existente, pero con un nuevo período de validez) del CSR original. Por lo general, también le permitirán proporcionar opcionalmente una nueva CSR para cambiar la clave pública y hacer cumplir que la otra información es la misma o simplemente ignorar cualquier información diferente en la nueva CSR.
Como ejemplo, el asistente de compra de certificados minoristas de Entrust Datacard extrae el dominio, la clave pública y cualquier alternativa del sujeto Nombres de la CSR y descarta todo lo demás. Los campos de información de la Organización y el período de validez del certificado se completan a través de su IU.
Lea otras preguntas en las etiquetas certificates