OpenVPN - Expirace certifikátu

OpenVPN - Expirace certifikátu
« kdy: 23. 09. 2022, 14:49:36 »
Dobrý den,
rád bych se Vás zde zeptal zdali je možnost nějak obnovit (revoke) certifikát pro OpenVPN server bez nutnosti pak generovat vše ostatním klientům ?

Server měl expiraci certifikátu po 2 letech a klienti mají 10 let.

Jak postupovat s obnovením certifikátu bez nutnosti distribuce nových certifikátu pro klienty.

Děkuji Vám za odpovědi


smoofy

  • *****
  • 1 059
    • Zobrazit profil
    • E-mail
Re:OpenVPN - Expirace certifikátu
« Odpověď #1 kdy: 23. 09. 2022, 15:31:20 »
Revoke certifikatu je jeho oficialni zneplatneni a nikoliv obnoveni (renewal). Certifikat je urcen jmenem a klicem ktery pouziva. Pokud oboji zustane stejne, vseachny leaf certifikaty by mely byt oproti nemu overitelne.

Re:OpenVPN - Expirace certifikátu
« Odpověď #2 kdy: 23. 09. 2022, 15:34:51 »
Revoke certifikatu je jeho oficialni zneplatneni a nikoliv obnoveni (renewal). Certifikat je urcen jmenem a klicem ktery pouziva. Pokud oboji zustane stejne, vseachny leaf certifikaty by mely byt oproti nemu overitelne.

Dobrý den,
ano máte pravdu je to "renewal". Máte nějaký návod jak postupovat a obnovit certifikát pro server tak aby jsem nemusel vystavovat xxx certifikátu nových pro koncový klienty ?

Re:OpenVPN - Expirace certifikátu
« Odpověď #3 kdy: 23. 09. 2022, 15:45:26 »
Pokud se vytvoří serveru nový certifikát podepsaný platnou autoritou, které klienti věří, pak tento certifikát server v rámci TLS handshaku předloží klientům sám a všechno proběhne hladce. Není třeba distribuovat nějakým postranním kanálem certifikáty serverů klientům. Přesně proto existují certifikáty, které je možné ověřit kýmkoliv kdykoliv, protože jsou podepsané důvěryhodnou autoritou.

Re:OpenVPN - Expirace certifikátu
« Odpověď #4 kdy: 23. 09. 2022, 15:47:25 »
IMHO: Jde o to zda je to certifikační autorita na serveru - pak vás čeká distribuce nového serverového certifikátu i klientských certifikátů, nebo zda certifikační autorita je v pořádku a končí jen serverový certifikát, pak vás čeká distribuce serverového certifikátu. Ale tak i tak asi bude výhodnější poslat celou .ovpn konfiguraci. Ale obávám se že bez toho to nepůjde.


Re:OpenVPN - Expirace certifikátu
« Odpověď #5 kdy: 23. 09. 2022, 15:49:03 »
A případně jak postupovat a zkusit obnovit serverový certifikát jelikož klientský má platnost 10 let serverový byl pouze na 2 roky.

_Jenda

  • *****
  • 1 605
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:OpenVPN - Expirace certifikátu
« Odpověď #6 kdy: 23. 09. 2022, 22:37:29 »
Ty certifikáty mi přijdou jako hlavní bolest OpenVPN oproti Wireguardu, kde je prostě klíč a ten funguje a nazdar. Konkrétně mně se stalo, že se vybila baterka na základní desce, tím se resetovaly hodiny do roku 1980, a openvpn nenaběhlo protože certifikátu ještě nezačala platnost (NTP to nevím proč nesrovnalo, možná bylo špatně nastavené a odmítalo srovnat moc velký skok).

Petr.cze: Nevím, ale používá to normální openssl, tak zkus googlit podle toho.

RDa

  • *****
  • 2 729
    • Zobrazit profil
    • E-mail
Re:OpenVPN - Expirace certifikátu
« Odpověď #7 kdy: 23. 09. 2022, 23:09:46 »
A případně jak postupovat a zkusit obnovit serverový certifikát jelikož klientský má platnost 10 let serverový byl pouze na 2 roky.

Ono to mas uplne jedno, zda budes klientum distribuovat jenom regenerovany CA, nebo rovnou nove CA a jejich vlastni certifikat. Updatovani souboru se nevyhnes..

Jsem to prave delal nedavno, selfsigned CA vyprsela podruhe  - tentokrat po 10 letech a stare manualy na to nefungovali tak uplne.. ten easy-rsa mel jiz trocha jiny cli volby. Ale porad to byl mensi opruz, vytvorit ca/cert pro ten jeden potrebny link znova, nez se to snazit premigrovat na WG s nejistym vysledkem.

Tohle me na spracvovani nejvice s*re.. ze musim delat veci kdyz nechci. Migrace na wg je samozrejme v planu, ale musim k ni mit cas/prostor na testy a vse.. nez se to nasadi. A nebudu to delat kdyz si nejaka sluzbicka zacne sama umirat :/

_Jenda

  • *****
  • 1 605
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:OpenVPN - Expirace certifikátu
« Odpověď #8 kdy: 24. 09. 2022, 00:20:55 »
Napadlo mě, že klient má v konfiguraci jenom CA certifikát + že protistrana má být server (ns-cert-type server). Takže nemělo by stačit prostě vygenerovat nový serverový certifikát (/usr/share/easy-rsa/easyrsa build-server-full server nopass, resp. u starého easy-rsa ./build-key-server) a nahradit ho?

Ono to mas uplne jedno, zda budes klientum distribuovat jenom regenerovany CA, nebo rovnou nove CA a jejich vlastni certifikat. Updatovani souboru se nevyhnes..
Pokud mu skutečně vypršel jen server a ne CA tak by mohl.

_Jenda

  • *****
  • 1 605
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:OpenVPN - Expirace certifikátu
« Odpověď #9 kdy: 24. 09. 2022, 01:21:44 »
Vyzkoušel jsem to, funguje to!

Díky tomuto dotazu jsem zkontroloval openvpn server, který jsem nedávno instaloval, a zjistil jsem, že mám stejný problém jako tazatel: certifikát serveru mi to vydalo jen od srpna 2022 do listopadu 2024.

Mimochodem tohle se nastavuje proměnnou prostředí, takže si dejte: export EASYRSA_CERT_EXPIRE=3650

Zadal jsem tedy:
Kód: [Vybrat]
/usr/share/easy-rsa/easyrsa build-server-full server2 nopassNásledně jsem v konfiguráku openvpn upravil cesty ke klíči a certifikátu aby mířily na nově vytvořený server2.key a server2.crt (místo původního server.key a server.crt), zhluboka se nadechl a restartoval to. A fakt to najelo, klienti se sami reconnectli a certifikát protistrany normálně ověřili a funguje to.

Btw. informace o certifikátu zjišťuji skriptem certinfo, do kterého certifikát napajpuju:
Kód: [Vybrat]
#!/bin/bash

c="`cat -`"
echo "$c" | openssl x509 -text -noout
echo "$c" | openssl x509 -text -noout | head -n 16
echo "$c" | openssl x509 -fingerprint -sha256 -noout | head -n 1
« Poslední změna: 24. 09. 2022, 01:23:48 od _Jenda »