Здравствуйте, pva, Вы писали:

_>>Ее нужно исправить, перевыпустив этот CA. Подпись на нем можно сделать также как на старом, либо от трастед рута либо self-sign. Все что было под ним придется перевыпускать.
pva>Ну, это крайний вариант и достаточно плохой поскольку требует остановки всего. Попробую в песочнице реализовать кросс-подпись и перевыпуск.

так выше написали, просто второй рут и постепенный переход. И кстати — любой серт, в том числе и рут, имеет срок действия. Как ты вообще планировал его замену по истечении срока без остановки всего? Считай что у тебя эта ситуация настала и тебе надо просто заменить протухший рут — штатная же операция.