OpenVPN - Expirace certifikátu

[Petr.cze]

Dobrý den,
rád bych se Vás zde zeptal zdali je možnost nějak obnovit (revoke) certifikát pro OpenVPN server bez nutnosti pak generovat vše ostatním klientům ?

Server měl expiraci certifikátu po 2 letech a klienti mají 10 let.

Jak postupovat s obnovením certifikátu bez nutnosti distribuce nových certifikátu pro klienty.

Děkuji Vám za odpovědi

[Reklama]

[smoofy]

Revoke certifikatu je jeho oficialni zneplatneni a nikoliv obnoveni (renewal). Certifikat je urcen jmenem a klicem ktery pouziva. Pokud oboji zustane stejne, vseachny leaf certifikaty by mely byt oproti nemu overitelne.

[Petr.cze]

Revoke certifikatu je jeho oficialni zneplatneni a nikoliv obnoveni (renewal). Certifikat je urcen jmenem a klicem ktery pouziva. Pokud oboji zustane stejne, vseachny leaf certifikaty by mely byt oproti nemu overitelne.

Dobrý den,
ano máte pravdu je to "renewal". Máte nějaký návod jak postupovat a obnovit certifikát pro server tak aby jsem nemusel vystavovat xxx certifikátu nových pro koncový klienty ?

[Petr Krčmář]

Pokud se vytvoří serveru nový certifikát podepsaný platnou autoritou, které klienti věří, pak tento certifikát server v rámci TLS handshaku předloží klientům sám a všechno proběhne hladce. Není třeba distribuovat nějakým postranním kanálem certifikáty serverů klientům. Přesně proto existují certifikáty, které je možné ověřit kýmkoliv kdykoliv, protože jsou podepsané důvěryhodnou autoritou.

[Daveran]

IMHO: Jde o to zda je to certifikační autorita na serveru - pak vás čeká distribuce nového serverového certifikátu i klientských certifikátů, nebo zda certifikační autorita je v pořádku a končí jen serverový certifikát, pak vás čeká distribuce serverového certifikátu. Ale tak i tak asi bude výhodnější poslat celou .ovpn konfiguraci. Ale obávám se že bez toho to nepůjde.

[Reklama]

[Peterekcze]

A případně jak postupovat a zkusit obnovit serverový certifikát jelikož klientský má platnost 10 let serverový byl pouze na 2 roky.

[_Jenda]

Ty certifikáty mi přijdou jako hlavní bolest OpenVPN oproti Wireguardu, kde je prostě klíč a ten funguje a nazdar. Konkrétně mně se stalo, že se vybila baterka na základní desce, tím se resetovaly hodiny do roku 1980, a openvpn nenaběhlo protože certifikátu ještě nezačala platnost (NTP to nevím proč nesrovnalo, možná bylo špatně nastavené a odmítalo srovnat moc velký skok).

Petr.cze: Nevím, ale používá to normální openssl, tak zkus googlit podle toho.

[RDa]

A případně jak postupovat a zkusit obnovit serverový certifikát jelikož klientský má platnost 10 let serverový byl pouze na 2 roky.

Ono to mas uplne jedno, zda budes klientum distribuovat jenom regenerovany CA, nebo rovnou nove CA a jejich vlastni certifikat. Updatovani souboru se nevyhnes..

Jsem to prave delal nedavno, selfsigned CA vyprsela podruhe  - tentokrat po 10 letech a stare manualy na to nefungovali tak uplne.. ten easy-rsa mel jiz trocha jiny cli volby. Ale porad to byl mensi opruz, vytvorit ca/cert pro ten jeden potrebny link znova, nez se to snazit premigrovat na WG s nejistym vysledkem.

Tohle me na spracvovani nejvice s*re.. ze musim delat veci kdyz nechci. Migrace na wg je samozrejme v planu, ale musim k ni mit cas/prostor na testy a vse.. nez se to nasadi. A nebudu to delat kdyz si nejaka sluzbicka zacne sama umirat :/

[_Jenda]

Napadlo mě, že klient má v konfiguraci jenom CA certifikát + že protistrana má být server (ns-cert-type server). Takže nemělo by stačit prostě vygenerovat nový serverový certifikát (/usr/share/easy-rsa/easyrsa build-server-full server nopass, resp. u starého easy-rsa ./build-key-server) a nahradit ho?

Ono to mas uplne jedno, zda budes klientum distribuovat jenom regenerovany CA, nebo rovnou nove CA a jejich vlastni certifikat. Updatovani souboru se nevyhnes..

Pokud mu skutečně vypršel jen server a ne CA tak by mohl.

[_Jenda]

Vyzkoušel jsem to, funguje to!

Díky tomuto dotazu jsem zkontroloval openvpn server, který jsem nedávno instaloval, a zjistil jsem, že mám stejný problém jako tazatel: certifikát serveru mi to vydalo jen od srpna 2022 do listopadu 2024.

Mimochodem tohle se nastavuje proměnnou prostředí, takže si dejte: export EASYRSA_CERT_EXPIRE=3650

Zadal jsem tedy:

Kód: [Vybrat]

/usr/share/easy-rsa/easyrsa build-server-full server2 nopassNásledně jsem v konfiguráku openvpn upravil cesty ke klíči a certifikátu aby mířily na nově vytvořený server2.key a server2.crt (místo původního server.key a server.crt), zhluboka se nadechl a restartoval to. A fakt to najelo, klienti se sami reconnectli a certifikát protistrany normálně ověřili a funguje to.

Btw. informace o certifikátu zjišťuji skriptem certinfo, do kterého certifikát napajpuju:

Kód: [Vybrat]

#!/bin/bash

c="`cat -`"
echo "$c" | openssl x509 -text -noout
echo "$c" | openssl x509 -text -noout | head -n 16
echo "$c" | openssl x509 -fingerprint -sha256 -noout | head -n 1