Fórum Root.cz
Hlavní témata => Server => Téma založeno: Petr.cze 23. 09. 2022, 14:49:36
-
Dobrý den,
rád bych se Vás zde zeptal zdali je možnost nějak obnovit (revoke) certifikát pro OpenVPN server bez nutnosti pak generovat vše ostatním klientům ?
Server měl expiraci certifikátu po 2 letech a klienti mají 10 let.
Jak postupovat s obnovením certifikátu bez nutnosti distribuce nových certifikátu pro klienty.
Děkuji Vám za odpovědi
-
Revoke certifikatu je jeho oficialni zneplatneni a nikoliv obnoveni (renewal). Certifikat je urcen jmenem a klicem ktery pouziva. Pokud oboji zustane stejne, vseachny leaf certifikaty by mely byt oproti nemu overitelne.
-
Revoke certifikatu je jeho oficialni zneplatneni a nikoliv obnoveni (renewal). Certifikat je urcen jmenem a klicem ktery pouziva. Pokud oboji zustane stejne, vseachny leaf certifikaty by mely byt oproti nemu overitelne.
Dobrý den,
ano máte pravdu je to "renewal". Máte nějaký návod jak postupovat a obnovit certifikát pro server tak aby jsem nemusel vystavovat xxx certifikátu nových pro koncový klienty ?
-
Pokud se vytvoří serveru nový certifikát podepsaný platnou autoritou, které klienti věří, pak tento certifikát server v rámci TLS handshaku předloží klientům sám a všechno proběhne hladce. Není třeba distribuovat nějakým postranním kanálem certifikáty serverů klientům. Přesně proto existují certifikáty, které je možné ověřit kýmkoliv kdykoliv, protože jsou podepsané důvěryhodnou autoritou.
-
IMHO: Jde o to zda je to certifikační autorita na serveru - pak vás čeká distribuce nového serverového certifikátu i klientských certifikátů, nebo zda certifikační autorita je v pořádku a končí jen serverový certifikát, pak vás čeká distribuce serverového certifikátu. Ale tak i tak asi bude výhodnější poslat celou .ovpn konfiguraci. Ale obávám se že bez toho to nepůjde.
-
A případně jak postupovat a zkusit obnovit serverový certifikát jelikož klientský má platnost 10 let serverový byl pouze na 2 roky.
-
Ty certifikáty mi přijdou jako hlavní bolest OpenVPN oproti Wireguardu, kde je prostě klíč a ten funguje a nazdar. Konkrétně mně se stalo, že se vybila baterka na základní desce, tím se resetovaly hodiny do roku 1980, a openvpn nenaběhlo protože certifikátu ještě nezačala platnost (NTP to nevím proč nesrovnalo, možná bylo špatně nastavené a odmítalo srovnat moc velký skok).
Petr.cze: Nevím, ale používá to normální openssl, tak zkus googlit podle toho.
-
A případně jak postupovat a zkusit obnovit serverový certifikát jelikož klientský má platnost 10 let serverový byl pouze na 2 roky.
Ono to mas uplne jedno, zda budes klientum distribuovat jenom regenerovany CA, nebo rovnou nove CA a jejich vlastni certifikat. Updatovani souboru se nevyhnes..
Jsem to prave delal nedavno, selfsigned CA vyprsela podruhe - tentokrat po 10 letech a stare manualy na to nefungovali tak uplne.. ten easy-rsa mel jiz trocha jiny cli volby. Ale porad to byl mensi opruz, vytvorit ca/cert pro ten jeden potrebny link znova, nez se to snazit premigrovat na WG s nejistym vysledkem.
Tohle me na spracvovani nejvice s*re.. ze musim delat veci kdyz nechci. Migrace na wg je samozrejme v planu, ale musim k ni mit cas/prostor na testy a vse.. nez se to nasadi. A nebudu to delat kdyz si nejaka sluzbicka zacne sama umirat :/
-
Napadlo mě, že klient má v konfiguraci jenom CA certifikát + že protistrana má být server (ns-cert-type server). Takže nemělo by stačit prostě vygenerovat nový serverový certifikát (/usr/share/easy-rsa/easyrsa build-server-full server nopass, resp. u starého easy-rsa ./build-key-server) a nahradit ho?
Ono to mas uplne jedno, zda budes klientum distribuovat jenom regenerovany CA, nebo rovnou nove CA a jejich vlastni certifikat. Updatovani souboru se nevyhnes..
Pokud mu skutečně vypršel jen server a ne CA tak by mohl.
-
Vyzkoušel jsem to, funguje to!
Díky tomuto dotazu jsem zkontroloval openvpn server, který jsem nedávno instaloval, a zjistil jsem, že mám stejný problém jako tazatel: certifikát serveru mi to vydalo jen od srpna 2022 do listopadu 2024.
Mimochodem tohle se nastavuje proměnnou prostředí, takže si dejte: export EASYRSA_CERT_EXPIRE=3650
Zadal jsem tedy:
/usr/share/easy-rsa/easyrsa build-server-full server2 nopassNásledně jsem v konfiguráku openvpn upravil cesty ke klíči a certifikátu aby mířily na nově vytvořený server2.key a server2.crt (místo původního server.key a server.crt), zhluboka se nadechl a restartoval to. A fakt to najelo, klienti se sami reconnectli a certifikát protistrany normálně ověřili a funguje to.
Btw. informace o certifikátu zjišťuji skriptem certinfo, do kterého certifikát napajpuju:
#!/bin/bash
c="`cat -`"
echo "$c" | openssl x509 -text -noout
echo "$c" | openssl x509 -text -noout | head -n 16
echo "$c" | openssl x509 -fingerprint -sha256 -noout | head -n 1