On 2017-08-26 17:45, Szládovics Péter wrote:
2017-08-26 17:18 keltezéssel, Vasas, Krisztián írta:
On 2017-08-26 16:57, Szima Gábor wrote:
On Sat, 26 Aug 2017, Vasas, Krisztián wrote:
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsítvány generálásáról van szó, hanem
megújításról.
Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy
ugyanolyat a régi privát kulcs megadása mellett - azaz nincs
-newkey, hanem -inkey van.
Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb
visszavontuk.
Igen, erről van szó.
Tudsz ajánlani ehhez egy step-by-step leírást?
Szóval hogy mi a teendő, amikor
- a ca.crt kezd lejárni
- a cliensek crt-i kezdenek lejárni
Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes
kliensnek el kell juttatni az újat. Viszont - ha jól tévedek - ekkor
az összes certet meg kell újítani, lévén az a régi CA-val lett
aláírva. Innentől szerintem egyszerűbb, ha nulláról kezded újra, pl
Zsiga leírása alapján...
Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még)
működő VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem
is olyan egyszerű.
Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban is
működjön a kapcsolat, amíg mindenki megkapja az új certet/kulcsát.
Tehát még működik a régi cert, de már van egy újabb, azokat
folyamatosan megkapják a kliensek, majd amikor mind lefrissült akkor
a
régi cert "goto kuka".
Mindegy, mert a CA-t nem lehet hosszabbítani, csak újat kiadni.
Onnantól a régi CA nem lesz érvényes. Vagy csinálsz egy másik VPN
szervert az új CA-val, szépen egyesével állítva át az újra a
klienseket, vagy pedig orbitális szívás elé nézel...
Egy dolgot kipróbálhatsz...
Fogod a jelenlegi CA privát kulcsát, és csinálsz egy új CA-t vele
manuálisan - egy új könyvtárban - pl. így:
openssl req -config <aktuális_konfig>.cnf -new -key
<a_jelenlegi_privát_kulcs> -x509 -days <érvényesség_napokban_pl_3650>
-extensions certauth -outform PEM -out <ez_lesz_az_új_ca_neve>
A készítés közben nagyon figyelj arra, hogy az új CA subjectje
pontosan egyezzen a régi subjecttel.
Ekkor lesz egy új CA-d, azonos ujjlenyomattal és subjecttel, mint a
régi CA.
Ha mázlid van, leállíthatod az openvpn-t, kicserélheted a CA-t (a
régit az újra, de a régit őrizd meg). Elindítod az openvpn-t, és
megnézed, hogy tudsz-e csatlakozni a VPN-re.
Ha igen (szerintem, ha minden oké, akkor menni fog, bár még nem
próbáltam ilyet), akkor a CA-t lecserélted, már csak a kliensekét kell
cserélgetni.
Kevés esélyt látok arra, hogy a régi és az új CA fingerprintje azonos
legyen. Anélkül meg az új CA elhajtja a vérbe a régi certeket...
IroNiQ
_________________________________________________
linux lista - linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux