On Sat, 26 Aug 2017, Szládovics Péter wrote:
Ha megnézed a két CA-t az 'openssl x509 -in -noout -text'
paranccsal, akkor mit látsz?
Az "X509v3 extensions:" eltér, az újban nincs benne:
X509v3 Subject Key Identifier:
X509v3 Authority Key Identifier:
On Sat, Aug 26, 2017 at 04:57:55PM +0200, Szima Gábor wrote:
>
> Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még) működő
> VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan
> egyszerű.
>
> Ezért lenne fontos egy olyan megoldás, hogy az átmeneti
2017-08-27 11:22 keltezéssel, Szima Gábor írta:
On Sun, 27 Aug 2017, Szima Gábor wrote:
Most már csak ebben tér el:
Subject/Issuer is eltérő (régi/új):
Issuer: C=.., ST=..., L=..., O=Sygma, CN=Sygma
CA/emailAddress=sy...@tesla.hu
Issuer: C=.., ST=..., L=...,
On Sun, 27 Aug 2017, Szima Gábor wrote:
Most már csak ebben tér el:
Subject/Issuer is eltérő (régi/új):
Issuer: C=.., ST=..., L=..., O=Sygma, CN=Sygma
CA/emailAddress=sy...@tesla.hu
Issuer: C=.., ST=..., L=..., O=Sygma/emailAddress=sy...@tesla.hu
CN-t kitöltve:
Common Name (eg, your
On 2017-08-27 12:37, Kosa Attila wrote:
On Sat, Aug 26, 2017 at 04:57:55PM +0200, Szima Gábor wrote:
Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még)
működő
VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan
egyszerű.
Ezért lenne fontos egy olyan
Azt hiszem megvan a megoldás, és igencsak egyszerű...
openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key -sha256
Azután a ca.key -t bármilyen sorrendben le lehet cserélni. Lehet a
szerveren először, majd utána a klienseken szép sorban, vagy fordítva, a
meglévő kapcsolatok
On Mon, 28 Aug 2017, Szima Gábor wrote:
Csak nem szabad megvárni a cert lejártát, mert utána kakukk.
Mármint lejárat után is tudunk újítani, csak akkor már nem épül fel a
kapcsolat, így VPN-en nem tudjuk eljuttatni a megújított certeket, csak
"lóra, magyar!" módszerrel.
On Mon, 28 Aug 2017, Szima Gábor wrote:
A szerver cert-ről se feledkezzünk meg, általában egyszerre készül a root
certtel:
Ez nem árt:
./revoke-full server
openssl ca -days 3650 -out server_new.crt -in server.csr -extensions server
-md sha256 -config openssl.cnf
Aztán a kliensek szép