Re: OpenVPN cert hosszabbítás -> megoldás
On Mon, 28 Aug 2017, Szima Gábor wrote: Azt hiszem megvan a megoldás, és igencsak egyszerű... openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key -sha256 Azután a ca.key -t bármilyen sorrendben le lehet cserélni. Fix: nem a key-t, hanem az új crt-re a régit. -Sygma _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Sat, 26 Aug 2017, Szládovics Péter wrote: TinyCA vagy easy rsa. easyrsa jo, szertem. Udvd, -=Lajbi=- LAJBER Zoltan engineer: a mechanism for converting caffeine into designs. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás -> megoldás
On Mon, 28 Aug 2017, Szima Gábor wrote: A szerver cert-ről se feledkezzünk meg, általában egyszerre készül a root certtel: Ez nem árt: ./revoke-full server openssl ca -days 3650 -out server_new.crt -in server.csr -extensions server -md sha256 -config openssl.cnf Aztán a kliensek szép sorban: ./revoke-full client openssl ca -days 3650 -out client_new.crt -in client.csr -md sha256 -config openssl.cnf -Sygma _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás -> megoldás
On Mon, 28 Aug 2017, Szima Gábor wrote: Csak nem szabad megvárni a cert lejártát, mert utána kakukk. Mármint lejárat után is tudunk újítani, csak akkor már nem épül fel a kapcsolat, így VPN-en nem tudjuk eljuttatni a megújított certeket, csak "lóra, magyar!" módszerrel. -Sygma _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás -> megoldás
Azt hiszem megvan a megoldás, és igencsak egyszerű... openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key -sha256 Azután a ca.key -t bármilyen sorrendben le lehet cserélni. Lehet a szerveren először, majd utána a klienseken szép sorban, vagy fordítva, a meglévő kapcsolatok működőképesek maradnak. Csak nem szabad megvárni a cert lejártát, mert utána kakukk. A szerver cert-ről se feledkezzünk meg, általában egyszerre készül a root certtel: openssl ca -days 3650 -out server_new.crt -in server.csr -extensions server -md sha256 -config openssl.cnf Aztán a kliensek szép sorban: openssl ca -days 3650 -out client_new.crt -in client.csr -md sha256 -config openssl.cnf Kipróbáltam egy vadiúj és egy 10 éves konfiggal és működik. Ez egy hasznos oldal a témában: http://geroyblog.blogspot.hu/2017/01/openvpn-renew-expired-ca-revoke.html Köszönöm mindenkinek a segítséget! -Sygma _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On 2017-08-27 12:37, Kosa Attila wrote: On Sat, Aug 26, 2017 at 04:57:55PM +0200, Szima Gábor wrote: Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még) működő VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan egyszerű. Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban is működjön a kapcsolat, amíg mindenki megkapja az új certet/kulcsát. Tehát még működik a régi cert, de már van egy újabb, azokat folyamatosan megkapják a kliensek, majd amikor mind lefrissült akkor a régi cert "goto kuka". Csinalsz uj CA-t, a klienseknek uj certet, mindenkihez eljuttatod, es egy elore bejelentett idopontban kicsereled a szerveren a tanusitvanyt. Onnantol csak az uj certekkel lehet csatlakozni, a regiekkel nem. Ez nem jarhato ut? Erre utaltam én is: egy ideig párhuzamosan üzemeltetni a kettőt. Amikor nem marad a régin senki, régi lecsap, goto kuka... IroNiQ _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
2017-08-27 11:22 keltezéssel, Szima Gábor írta: On Sun, 27 Aug 2017, Szima Gábor wrote: Most már csak ebben tér el: Subject/Issuer is eltérő (régi/új): Issuer: C=.., ST=..., L=..., O=Sygma, CN=Sygma CA/emailAddress=sy...@tesla.hu Issuer: C=.., ST=..., L=..., O=Sygma/emailAddress=sy...@tesla.hu CN-t kitöltve: Common Name (eg, your name or your server's hostname) []:Sygma O=Sygma, CN=Sygma/emailAddress=sy...@tesla.hu E helyett: O=Sygma, CN=Sygma CA/emailAddress=sy...@tesla.hu Már csak a CN-t kell szétszedni CA-ra. Nem kell "szétszedni" Ezt kell megadni: "Sygma CA" - idézőjelek nélkül a CN értékhez. És ha sikerül, akkor próbálj mégegyet úgy, hogy ne SHA1-es legyen, hanem SHA256 default_md = sha256 a konfigban. Az SHA1 nagyon rég ki lett dobva, talán 2 éve. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Sat, Aug 26, 2017 at 04:57:55PM +0200, Szima Gábor wrote: > > Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még) működő > VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan > egyszerű. > > Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban is > működjön a kapcsolat, amíg mindenki megkapja az új certet/kulcsát. > > Tehát még működik a régi cert, de már van egy újabb, azokat folyamatosan > megkapják a kliensek, majd amikor mind lefrissült akkor a régi cert "goto > kuka". Csinalsz uj CA-t, a klienseknek uj certet, mindenkihez eljuttatod, es egy elore bejelentett idopontban kicsereled a szerveren a tanusitvanyt. Onnantol csak az uj certekkel lehet csatlakozni, a regiekkel nem. Ez nem jarhato ut? -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Sun, 27 Aug 2017, Szima Gábor wrote: Most már csak ebben tér el: Subject/Issuer is eltérő (régi/új): Issuer: C=.., ST=..., L=..., O=Sygma, CN=Sygma CA/emailAddress=sy...@tesla.hu Issuer: C=.., ST=..., L=..., O=Sygma/emailAddress=sy...@tesla.hu CN-t kitöltve: Common Name (eg, your name or your server's hostname) []:Sygma O=Sygma, CN=Sygma/emailAddress=sy...@tesla.hu E helyett: O=Sygma, CN=Sygma CA/emailAddress=sy...@tesla.hu Már csak a CN-t kell szétszedni CA-ra. -Sygma _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Sat, 26 Aug 2017, Szládovics Péter wrote: Ha megnézed a két CA-t az 'openssl x509 -in -noout -text' paranccsal, akkor mit látsz? Az "X509v3 extensions:" eltér, az újban nincs benne: X509v3 Subject Key Identifier: X509v3 Authority Key Identifier: DirName:/C=../ST=.../L=.../O=Sygma/CN=Sygma CA/emailAddress=sy...@tesla.hu Ez viszont az újban van csak benne: X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment Ebben eltér (régi/új): X509v3 Basic Constraints: CA:TRUE X509v3 Basic Constraints: CA:FALSE Signature Algorithm: sha1WithRSAEncryption Signature Algorithm: sha256WithRSAEncryption Subject/Issuer is eltérő (régi/új): Issuer: C=.., ST=..., L=..., O=Sygma, CN=Sygma CA/emailAddress=sy...@tesla.hu Issuer: C=.., ST=..., L=..., O=Sygma/emailAddress=sy...@tesla.hu C, ST, L egyezik mindenhol -Sygma _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: ***UNCHECKED*** Re: OpenVPN cert hosszabbítás
2017-08-26 23:39 keltezéssel, Hegedüs Ervin írta: Hello, On Sat, Aug 26, 2017 at 11:35:23PM +0200, Szládovics Péter wrote: kicsit elkanyarodik az eredeti kérdéstől, de miért kell PFX? Én használok pár helyen OpenVPN-t, a kliensek vegyesen Win7/10, ill. Linux, de PFX-et még soha senkinek nem kellett generálnom, a sima PEM formátum jó volt. Nem kell PFX, csak azért csináltam, mert azt csak konzisztensen lehet. Ha nem stimmel a ca/cert/kulcs valamelyike, akkor nem készül el. ok, bár volt egy korábbi leveled is, abban kicsit határozottabban utaltál a PFX szükségességére: Igen, a kliensnél, de valóban meg lehet adni külön mindent PEM formátumban. Régen openvpn-eltem klienstanúsítvánnyal. Bár a korábbiakban sem mondtam 100%-ra :) On Fri, Aug 25, 2017 at 11:18:04AM +0200, Szládovics Péter wrote: Ettől még a másik megoldás is működik, csak akkor új privát kulcs is kell - ilyen szempontból mondjuk mindegy is, mert ha az emlékeim nem csalnak, akkor az OpenVPN esetében a kliensnek PFX kell, azt meg mindenképp újra kell generálni. de ne érts félre légyszi, nem szembesíteni akarlak :), csak eléggé az jött át ebből a két levélből, hogy a PFX formátum _kell_. Nem kell. Csak a chain mindig konzisztens. Ha valami sem OK, az openssl hibát dob. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
***UNCHECKED*** Re: OpenVPN cert hosszabbítás
Hello, On Sat, Aug 26, 2017 at 11:35:23PM +0200, Szládovics Péter wrote: > >kicsit elkanyarodik az eredeti kérdéstől, de miért kell PFX? Én > >használok pár helyen OpenVPN-t, a kliensek vegyesen Win7/10, ill. > >Linux, de PFX-et még soha senkinek nem kellett generálnom, a sima > >PEM formátum jó volt. > > Nem kell PFX, csak azért csináltam, mert azt csak konzisztensen > lehet. Ha nem stimmel a ca/cert/kulcs valamelyike, akkor nem készül > el. ok, bár volt egy korábbi leveled is, abban kicsit határozottabban utaltál a PFX szükségességére: On Fri, Aug 25, 2017 at 11:18:04AM +0200, Szládovics Péter wrote: > Ettől még a másik megoldás is működik, csak akkor új privát > kulcs is kell - ilyen szempontból mondjuk mindegy is, mert ha az > emlékeim nem csalnak, akkor az OpenVPN esetében a kliensnek PFX kell, > azt meg mindenképp újra kell generálni. de ne érts félre légyszi, nem szembesíteni akarlak :), csak eléggé az jött át ebből a két levélből, hogy a PFX formátum _kell_. a. -- I � UTF-8 _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
***UNCHECKED*** Re: OpenVPN cert hosszabbítás
2017-08-26 21:59 keltezéssel, Szima Gábor írta: On Sat, 26 Aug 2017, Szládovics Péter wrote: openssl req -config.cnf -new -key -x509 -days <érvényesség_napokban_pl_3650> -extensions certauth -outform PEM -out -extensions certauth (nálam) nincs, csak v3_ca. Ok, ez igaz, nekem külön openssl.cnf volt, abban volt definiálva. Kevés esélyt látok arra, hogy a régi és az új CA fingerprintje azonos legyen. Anélkül meg az új CA elhajtja a vérbe a régi certeket... Hát, kipróbáltam: azonos lett. :) Nekem nem, de ha többször megismételtem ezt a fingerprint mindegyiknél más. Egyébként nem engedte be az újjal. Ha más a fingerprint, nem fogja. Ha a kulcsok azonosak, azaz a régi CA kulcsával csináltad az újat, akkor a subject nem stimmel. Ha megnézed a két CA-t az 'openssl x509 -in -noout -text' paranccsal, akkor mit látsz? Copy+Paste jöhet nyugodtan, a hexdumpok nélkül. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Sat, Aug 26, 2017 at 08:56:04PM +0200, Szládovics Péter wrote: Kevés esélyt látok arra, hogy a régi és az új CA fingerprintje azonos legyen. Anélkül meg az új CA elhajtja a vérbe a régi certeket... Hát, kipróbáltam: azonos lett. :) Sőt, csináltam két test certet, az egyiket az egyikkel, a másikat a másikkal írtam alá, majd mindkét certből csináltam pfx-et chainnel, kicsit elkanyarodik az eredeti kérdéstől, de miért kell PFX? Én használok pár helyen OpenVPN-t, a kliensek vegyesen Win7/10, ill. Linux, de PFX-et még soha senkinek nem kellett generálnom, a sima PEM formátum jó volt. Nem kell PFX, csak azért csináltam, mert azt csak konzisztensen lehet. Ha nem stimmel a ca/cert/kulcs valamelyike, akkor nem készül el. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Sat, 26 Aug 2017, Szládovics Péter wrote: openssl req -config.cnf -new -key -x509 -days <érvényesség_napokban_pl_3650> -extensions certauth -outform PEM -out -extensions certauth (nálam) nincs, csak v3_ca. Kevés esélyt látok arra, hogy a régi és az új CA fingerprintje azonos legyen. Anélkül meg az új CA elhajtja a vérbe a régi certeket... Hát, kipróbáltam: azonos lett. :) Nekem nem, de ha többször megismételtem ezt a fingerprint mindegyiknél más. Egyébként nem engedte be az újjal. -Sygma _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Sat, Aug 26, 2017 at 08:56:04PM +0200, Szládovics Péter wrote: > >Kevés esélyt látok arra, hogy a régi és az új CA fingerprintje > >azonos legyen. Anélkül meg az új CA elhajtja a vérbe a régi > >certeket... > > Hát, kipróbáltam: azonos lett. :) > Sőt, csináltam két test certet, az egyiket az egyikkel, a másikat a > másikkal írtam alá, majd mindkét certből csináltam pfx-et chainnel, kicsit elkanyarodik az eredeti kérdéstől, de miért kell PFX? Én használok pár helyen OpenVPN-t, a kliensek vegyesen Win7/10, ill. Linux, de PFX-et még soha senkinek nem kellett generálnom, a sima PEM formátum jó volt. a. -- I � UTF-8 _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Sat, 26 Aug 2017, Szládovics Péter wrote: A régi CA hogyan készült? easy-rsa 2.0/build-ca -Sygma _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
2017-08-26 18:51 keltezéssel, Vasas, Krisztián írta: On 2017-08-26 17:45, Szládovics Péter wrote: 2017-08-26 17:18 keltezéssel, Vasas, Krisztián írta: On 2017-08-26 16:57, Szima Gábor wrote: On Sat, 26 Aug 2017, Vasas, Krisztián wrote: On 2017-08-26 15:49, Szima Gábor wrote: On Thu, 24 Aug 2017, Szládovics Péter wrote: Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Igen, erről van szó. Tudsz ajánlani ehhez egy step-by-step leírást? Szóval hogy mi a teendő, amikor - a ca.crt kezd lejárni - a cliensek crt-i kezdenek lejárni Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes kliensnek el kell juttatni az újat. Viszont - ha jól tévedek - ekkor az összes certet meg kell újítani, lévén az a régi CA-val lett aláírva. Innentől szerintem egyszerűbb, ha nulláról kezded újra, pl Zsiga leírása alapján... Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még) működő VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan egyszerű. Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban is működjön a kapcsolat, amíg mindenki megkapja az új certet/kulcsát. Tehát még működik a régi cert, de már van egy újabb, azokat folyamatosan megkapják a kliensek, majd amikor mind lefrissült akkor a régi cert "goto kuka". Mindegy, mert a CA-t nem lehet hosszabbítani, csak újat kiadni. Onnantól a régi CA nem lesz érvényes. Vagy csinálsz egy másik VPN szervert az új CA-val, szépen egyesével állítva át az újra a klienseket, vagy pedig orbitális szívás elé nézel... Egy dolgot kipróbálhatsz... Fogod a jelenlegi CA privát kulcsát, és csinálsz egy új CA-t vele manuálisan - egy új könyvtárban - pl. így: openssl req -config.cnf -new -key -x509 -days <érvényesség_napokban_pl_3650> -extensions certauth -outform PEM -out A készítés közben nagyon figyelj arra, hogy az új CA subjectje pontosan egyezzen a régi subjecttel. Ekkor lesz egy új CA-d, azonos ujjlenyomattal és subjecttel, mint a régi CA. Ha mázlid van, leállíthatod az openvpn-t, kicserélheted a CA-t (a régit az újra, de a régit őrizd meg). Elindítod az openvpn-t, és megnézed, hogy tudsz-e csatlakozni a VPN-re. Ha igen (szerintem, ha minden oké, akkor menni fog, bár még nem próbáltam ilyet), akkor a CA-t lecserélted, már csak a kliensekét kell cserélgetni. Kevés esélyt látok arra, hogy a régi és az új CA fingerprintje azonos legyen. Anélkül meg az új CA elhajtja a vérbe a régi certeket... Hát, kipróbáltam: azonos lett. :) Sőt, csináltam két test certet, az egyiket az egyikkel, a másikat a másikkal írtam alá, majd mindkét certből csináltam pfx-et chainnel, de nem azt a CA-t tettem mellé, amelyikkel aláírtam, hanem a másikat. Múkodik. :) _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On 2017-08-26 17:45, Szládovics Péter wrote: 2017-08-26 17:18 keltezéssel, Vasas, Krisztián írta: On 2017-08-26 16:57, Szima Gábor wrote: On Sat, 26 Aug 2017, Vasas, Krisztián wrote: On 2017-08-26 15:49, Szima Gábor wrote: On Thu, 24 Aug 2017, Szládovics Péter wrote: Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Igen, erről van szó. Tudsz ajánlani ehhez egy step-by-step leírást? Szóval hogy mi a teendő, amikor - a ca.crt kezd lejárni - a cliensek crt-i kezdenek lejárni Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes kliensnek el kell juttatni az újat. Viszont - ha jól tévedek - ekkor az összes certet meg kell újítani, lévén az a régi CA-val lett aláírva. Innentől szerintem egyszerűbb, ha nulláról kezded újra, pl Zsiga leírása alapján... Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még) működő VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan egyszerű. Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban is működjön a kapcsolat, amíg mindenki megkapja az új certet/kulcsát. Tehát még működik a régi cert, de már van egy újabb, azokat folyamatosan megkapják a kliensek, majd amikor mind lefrissült akkor a régi cert "goto kuka". Mindegy, mert a CA-t nem lehet hosszabbítani, csak újat kiadni. Onnantól a régi CA nem lesz érvényes. Vagy csinálsz egy másik VPN szervert az új CA-val, szépen egyesével állítva át az újra a klienseket, vagy pedig orbitális szívás elé nézel... Egy dolgot kipróbálhatsz... Fogod a jelenlegi CA privát kulcsát, és csinálsz egy új CA-t vele manuálisan - egy új könyvtárban - pl. így: openssl req -config.cnf -new -key -x509 -days <érvényesség_napokban_pl_3650> -extensions certauth -outform PEM -out A készítés közben nagyon figyelj arra, hogy az új CA subjectje pontosan egyezzen a régi subjecttel. Ekkor lesz egy új CA-d, azonos ujjlenyomattal és subjecttel, mint a régi CA. Ha mázlid van, leállíthatod az openvpn-t, kicserélheted a CA-t (a régit az újra, de a régit őrizd meg). Elindítod az openvpn-t, és megnézed, hogy tudsz-e csatlakozni a VPN-re. Ha igen (szerintem, ha minden oké, akkor menni fog, bár még nem próbáltam ilyet), akkor a CA-t lecserélted, már csak a kliensekét kell cserélgetni. Kevés esélyt látok arra, hogy a régi és az új CA fingerprintje azonos legyen. Anélkül meg az új CA elhajtja a vérbe a régi certeket... IroNiQ _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
2017-08-26 17:18 keltezéssel, Vasas, Krisztián írta: On 2017-08-26 16:57, Szima Gábor wrote: On Sat, 26 Aug 2017, Vasas, Krisztián wrote: On 2017-08-26 15:49, Szima Gábor wrote: On Thu, 24 Aug 2017, Szládovics Péter wrote: Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Igen, erről van szó. Tudsz ajánlani ehhez egy step-by-step leírást? Szóval hogy mi a teendő, amikor - a ca.crt kezd lejárni - a cliensek crt-i kezdenek lejárni Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes kliensnek el kell juttatni az újat. Viszont - ha jól tévedek - ekkor az összes certet meg kell újítani, lévén az a régi CA-val lett aláírva. Innentől szerintem egyszerűbb, ha nulláról kezded újra, pl Zsiga leírása alapján... Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még) működő VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan egyszerű. Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban is működjön a kapcsolat, amíg mindenki megkapja az új certet/kulcsát. Tehát még működik a régi cert, de már van egy újabb, azokat folyamatosan megkapják a kliensek, majd amikor mind lefrissült akkor a régi cert "goto kuka". Mindegy, mert a CA-t nem lehet hosszabbítani, csak újat kiadni. Onnantól a régi CA nem lesz érvényes. Vagy csinálsz egy másik VPN szervert az új CA-val, szépen egyesével állítva át az újra a klienseket, vagy pedig orbitális szívás elé nézel... Egy dolgot kipróbálhatsz... Fogod a jelenlegi CA privát kulcsát, és csinálsz egy új CA-t vele manuálisan - egy új könyvtárban - pl. így: openssl req -config.cnf -new -key -x509 -days <érvényesség_napokban_pl_3650> -extensions certauth -outform PEM -out A készítés közben nagyon figyelj arra, hogy az új CA subjectje pontosan egyezzen a régi subjecttel. Ekkor lesz egy új CA-d, azonos ujjlenyomattal és subjecttel, mint a régi CA. Ha mázlid van, leállíthatod az openvpn-t, kicserélheted a CA-t (a régit az újra, de a régit őrizd meg). Elindítod az openvpn-t, és megnézed, hogy tudsz-e csatlakozni a VPN-re. Ha igen (szerintem, ha minden oké, akkor menni fog, bár még nem próbáltam ilyet), akkor a CA-t lecserélted, már csak a kliensekét kell cserélgetni. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On 2017-08-26 16:57, Szima Gábor wrote: On Sat, 26 Aug 2017, Vasas, Krisztián wrote: On 2017-08-26 15:49, Szima Gábor wrote: On Thu, 24 Aug 2017, Szládovics Péter wrote: Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Igen, erről van szó. Tudsz ajánlani ehhez egy step-by-step leírást? Szóval hogy mi a teendő, amikor - a ca.crt kezd lejárni - a cliensek crt-i kezdenek lejárni Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes kliensnek el kell juttatni az újat. Viszont - ha jól tévedek - ekkor az összes certet meg kell újítani, lévén az a régi CA-val lett aláírva. Innentől szerintem egyszerűbb, ha nulláról kezded újra, pl Zsiga leírása alapján... Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még) működő VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan egyszerű. Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban is működjön a kapcsolat, amíg mindenki megkapja az új certet/kulcsát. Tehát még működik a régi cert, de már van egy újabb, azokat folyamatosan megkapják a kliensek, majd amikor mind lefrissült akkor a régi cert "goto kuka". Mindegy, mert a CA-t nem lehet hosszabbítani, csak újat kiadni. Onnantól a régi CA nem lesz érvényes. Vagy csinálsz egy másik VPN szervert az új CA-val, szépen egyesével állítva át az újra a klienseket, vagy pedig orbitális szívás elé nézel... IroNiQ _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
2017-08-26 16:57 keltezéssel, Szima Gábor írta: On Sat, 26 Aug 2017, Vasas, Krisztián wrote: On 2017-08-26 15:49, Szima Gábor wrote: On Thu, 24 Aug 2017, Szládovics Péter wrote: Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Igen, erről van szó. Tudsz ajánlani ehhez egy step-by-step leírást? Szóval hogy mi a teendő, amikor - a ca.crt kezd lejárni - a cliensek crt-i kezdenek lejárni Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes kliensnek el kell juttatni az újat. Viszont - ha jól tévedek - ekkor az összes certet meg kell újítani, lévén az a régi CA-val lett aláírva. Innentől szerintem egyszerűbb, ha nulláról kezded újra, pl Zsiga leírása alapján... Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még) működő VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan egyszerű. Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban is működjön a kapcsolat, amíg mindenki megkapja az új certet/kulcsát. Tehát még működik a régi cert, de már van egy újabb, azokat folyamatosan megkapják a kliensek, majd amikor mind lefrissült akkor a régi cert "goto kuka". A régi CA hogyan készült? _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Sat, 26 Aug 2017, Vasas, Krisztián wrote: On 2017-08-26 15:49, Szima Gábor wrote: On Thu, 24 Aug 2017, Szládovics Péter wrote: Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Igen, erről van szó. Tudsz ajánlani ehhez egy step-by-step leírást? Szóval hogy mi a teendő, amikor - a ca.crt kezd lejárni - a cliensek crt-i kezdenek lejárni Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes kliensnek el kell juttatni az újat. Viszont - ha jól tévedek - ekkor az összes certet meg kell újítani, lévén az a régi CA-val lett aláírva. Innentől szerintem egyszerűbb, ha nulláról kezded újra, pl Zsiga leírása alapján... Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még) működő VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan egyszerű. Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban is működjön a kapcsolat, amíg mindenki megkapja az új certet/kulcsát. Tehát még működik a régi cert, de már van egy újabb, azokat folyamatosan megkapják a kliensek, majd amikor mind lefrissült akkor a régi cert "goto kuka". -Sygma _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
2017-08-26 15:55 keltezéssel, Vasas, Krisztián írta: On 2017-08-26 15:49, Szima Gábor wrote: On Thu, 24 Aug 2017, Szládovics Péter wrote: Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Igen, erről van szó. Tudsz ajánlani ehhez egy step-by-step leírást? Szóval hogy mi a teendő, amikor - a ca.crt kezd lejárni - a cliensek crt-i kezdenek lejárni Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes kliensnek el kell juttatni az újat. Viszont - ha jól tévedek - ekkor az összes certet meg kell újítani, lévén az a régi CA-val lett aláírva. Innentől szerintem egyszerűbb, ha nulláról kezded újra, pl Zsiga leírása alapján... Ez esetben bizony ez van. Javasolt a CA-t hosszabb időre generálni, mint a kliens certek élettartama, megőrizni jól a privát kilcsot, az index adatbázist, és legyártani, illetve az OpenVPN-nek megmutatni a CRL-t, hogy ha egy embernek a VPN jogát meg kell vonni, vagy a tanúsítványa kompromittálódik (pl. elveszti vagy ellopják a laptopját), akkor ne kelljen megint új CA és mindenkinek új tanúsítványt csinálni. Én ugyan manuálisan szontam openssl parancsokat használni (Zsiga leírása fentebb), de vannak komplett PKI kezelő toolok is, mint a már említett(?) TinyCA vagy easy rsa. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On 2017-08-26 15:49, Szima Gábor wrote: On Thu, 24 Aug 2017, Szládovics Péter wrote: Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Igen, erről van szó. Tudsz ajánlani ehhez egy step-by-step leírást? Szóval hogy mi a teendő, amikor - a ca.crt kezd lejárni - a cliensek crt-i kezdenek lejárni Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes kliensnek el kell juttatni az újat. Viszont - ha jól tévedek - ekkor az összes certet meg kell újítani, lévén az a régi CA-val lett aláírva. Innentől szerintem egyszerűbb, ha nulláról kezded újra, pl Zsiga leírása alapján... IroNiQ _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Thu, 24 Aug 2017, Szládovics Péter wrote: Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Igen, erről van szó. Tudsz ajánlani ehhez egy step-by-step leírást? Szóval hogy mi a teendő, amikor - a ca.crt kezd lejárni - a cliensek crt-i kezdenek lejárni Köszönöm! -Sygma _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
2017-08-25 07:43 keltezéssel, Kosa Attila írta: On Thu, Aug 24, 2017 at 11:06:30PM +0200, Szládovics Péter wrote: On 2017-08-24 21:20, Kosa Attila wrote: On Thu, Aug 24, 2017 at 08:15:25PM +0200, Kosa Attila wrote: On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote: A lényeg: lassacskán lejáró szerver/kliens cert-eket szeretném megújítani. Rajottem, hogy nehany dologban valtoztattam azota :) Itt vannak a parancsok: Most vagy én értem rosszul, amit a kérdező ír, vagy Ti. Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Ujraolvasva a dolgot, azt hiszem, neked van igazad :) Ettől még a másik megoldás is működik, csak akkor új privát kulcs is kell - ilyen szempontból mondjuk mindegy is, mert ha az emlékeim nem csalnak, akkor az OpenVPN esetében a kliensnek PFX kell, azt meg mindenképp újra kell generálni. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Thu, Aug 24, 2017 at 11:06:30PM +0200, Szládovics Péter wrote: > >On 2017-08-24 21:20, Kosa Attila wrote: > >>On Thu, Aug 24, 2017 at 08:15:25PM +0200, Kosa Attila wrote: > >>>On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote: > > A lényeg: lassacskán lejáró szerver/kliens cert-eket szeretném > >>>megújítani. > >> > >>Rajottem, hogy nehany dologban valtoztattam azota :) Itt vannak a > >>parancsok: > > Most vagy én értem rosszul, amit a kérdező ír, vagy Ti. > Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. > Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat > a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. > Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Ujraolvasva a dolgot, azt hiszem, neked van igazad :) -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
2017-08-24 21:26 keltezéssel, Vasas, Krisztián írta: On 2017-08-24 21:20, Kosa Attila wrote: On Thu, Aug 24, 2017 at 08:15:25PM +0200, Kosa Attila wrote: On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote: > > Tudtok ajánlani egy jó step-by-step leírást OpenVPN cert hosszabbításról? > Gugliztam párat, de eddig mindegyik javaslat hibára futott > (SSL3_GET_SERVER_CERTIFICATE:certificate verify failed). > > A lényeg: lassacskán lejáró szerver/kliens cert-eket szeretném megújítani. http://kosaek.hu/halozat.pdf Rajottem, hogy nehany dologban valtoztattam azota :) Itt vannak a parancsok: Kb. ugyanezt csinálja az easy-rsa is, ami ráadásul csomagban is szerepel és talán kicsit egyszerűbb a használata. IMHO... Most vagy én értem rosszul, amit a kérdező ír, vagy Ti. Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról. Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van. Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb visszavontuk. Természetesen az is jó megoldás "lehet", hogy a régit visszavonjuk, és újat csinálunk, de az nem "hosszabbítás", hanem új kibocsájtás. Hosszabbítás esetén a privát kulcs nem változik, csak a publikus. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On 2017-08-24 21:20, Kosa Attila wrote: On Thu, Aug 24, 2017 at 08:15:25PM +0200, Kosa Attila wrote: On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote: > > Tudtok ajánlani egy jó step-by-step leírást OpenVPN cert hosszabbításról? > Gugliztam párat, de eddig mindegyik javaslat hibára futott > (SSL3_GET_SERVER_CERTIFICATE:certificate verify failed). > > A lényeg: lassacskán lejáró szerver/kliens cert-eket szeretném megújítani. http://kosaek.hu/halozat.pdf Rajottem, hogy nehany dologban valtoztattam azota :) Itt vannak a parancsok: Kb. ugyanezt csinálja az easy-rsa is, ami ráadásul csomagban is szerepel és talán kicsit egyszerűbb a használata. IMHO... IroNiQ _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: OpenVPN cert hosszabbítás
On Thu, Aug 24, 2017 at 08:15:25PM +0200, Kosa Attila wrote: > On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote: > > > > Tudtok ajánlani egy jó step-by-step leírást OpenVPN cert hosszabbításról? > > Gugliztam párat, de eddig mindegyik javaslat hibára futott > > (SSL3_GET_SERVER_CERTIFICATE:certificate verify failed). > > > > A lényeg: lassacskán lejáró szerver/kliens cert-eket szeretném megújítani. > > http://kosaek.hu/halozat.pdf Rajottem, hogy nehany dologban valtoztattam azota :) Itt vannak a parancsok: openssl req -set_serial 00 -passout "pass:CA_jelszo" -x509 -config CA.cnf -newkey rsa:4096 -sha256 -days 3650 -out ca.crt -outform PEM touch index.txt echo 01 > serial.txt openssl req -config server.cnf -newkey rsa:2048 -sha256 -nodes -keyout servercert.key -out servercert.csr -outform PEM openssl ca -passin "pass:CA_jelszo" -config CA.cnf -policy signing_policy -extensions signing_req -out servercert.crt -infiles servercert.csr openssl rsa -in servercert.key -out servercert.key.nopass openssl req -nodes -newkey rsa:2048 -sha256 -config vpn-kliens-001 -keyout vpn-kliens-001.key -out vpn-kliens-001.csr -outform PEM openssl ca -passin "pass:CA_jelszo" -config CA.cnf -policy signing_policy -extensions signing_req -days 365 -out vpn-kliens-001.crt -infiles vpn-kliens-001.csr openssl rsa -in vpn-kliens-001.key -out vpn-kliens-001.key.nopass openvpn --genkey --secret ta.key openssl dhparam -out dh2048.pem 2048 A CA.cnf fajl: HOME= . RANDFILE= $ENV::HOME/.rnd [ ca ] default_ca = CA_default# The default ca section [ CA_default ] default_days= 365 # how long to certify for default_crl_days= 30# how long before next CRL default_md = sha256# use public key default MD preserve= no# keep passed DN ordering x509_extensions = ca_extensions # The extensions to add to the cert email_in_dn = no# Don't concat the email in the DN copy_extensions = copy # Required to copy SANs from CSR to cert base_dir= . certificate = $base_dir/ca.crt # The CA certifcate private_key = $base_dir/ca.key # The CA private key new_certs_dir = $base_dir # Location for new certs after signing database= $base_dir/index.txt # Database index file serial = $base_dir/serial.txt # The current serial number unique_subject = no# Set to 'no' to allow creation of # several certificates with same subject. [ req ] default_bits= 4096 default_keyfile = ca.key distinguished_name = ca_distinguished_name x509_extensions = ca_extensions string_mask = utf8only [ ca_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = HU stateOrProvinceName = State or Province Name (full name) stateOrProvinceName_default = Megye localityName= Locality Name (eg, city) localityName_default= Varosnev organizationName= Organization Name (eg, company) organizationName_default= Cegnev Kft. commonName = Common Name (e.g. server FQDN or YOUR name) commonName_default = Cegnev Kft. CA emailAddress= Email Address emailAddress_default= i...@cegnev.hu [ ca_extensions ] subjectKeyIdentifier= hash authorityKeyIdentifier = keyid:always, issuer basicConstraints= critical, CA:true keyUsage= keyCertSign, cRLSign [ signing_policy ] countryName = optional stateOrProvinceName = optional localityName= optional organizationName= optional organizationalUnitName = optional commonName = supplied emailAddress= optional [ signing_req ] subjectKeyIdentifier= hash authorityKeyIdentifier = keyid,issuer basicConstraints= CA:FALSE #keyUsage = nonRepudiation,
Re: OpenVPN cert hosszabbítás
On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote: > > Tudtok ajánlani egy jó step-by-step leírást OpenVPN cert hosszabbításról? > Gugliztam párat, de eddig mindegyik javaslat hibára futott > (SSL3_GET_SERVER_CERTIFICATE:certificate verify failed). > > A lényeg: lassacskán lejáró szerver/kliens cert-eket szeretném megújítani. http://kosaek.hu/halozat.pdf -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux