使用easy的PKI管理

Question

最近，我安装了一个OpenVPN服务器，使用了easy，并有关于证书吊销的问题：

如果有人的私钥被泄露，我必须用revoke-full撤销证书，我是否需要将已撤销的.crt/.csr/.key保留在服务器上？

我之所以问这个问题，是因为我使用证书所有者的全名作为证书名，并且想知道如果已经有一个(已撤销的)证书名，我将如何生成一个同名的新证书。

Answer 1

不，easy不要求您保留已撤销的证书。我能想出的唯一理由是保留它们是为了有一些可怜的人的审计日志。

只需确保在删除证书之前撤销它，因为easy(至少我看过的版本2 )似乎需要.crt文件来撤销证书。

另外，如果您还在建立pki的过程中，请考虑切换到ECDSA 3，这是一个完整的重写，它增加了许多有趣的特性，比如ECDSA支持。