Certificat de CA a expiré sur openvpn

3

J'ai un problème avec le certificat de CA sur OpenVPN, il a expiré et les clients ne peuvent pas se connecter. J'ai essayé de créer un nouveau certificat avec la clé ca.key, mais cela n'a pas fonctionné.

Voici la commande que j'ai utilisée pour créer le nouveau certificat: openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key

Après cela, j'ai modifié la configuration du fichier openvpn pour indiquer que le nouveau certificat est ca_new.crt.

Voici mon fichier de configuration:

port 1194 
proto udp 
dev tun client-to-client 
ca easy-rsa/keys/ca_new.crt 
cert easy-rsa/keys/server.crt 
key easy-rsa/keys/server.key 
#crl-verify easy-rsa/keys/crl.pem 
dh easy-rsa/keys/dh1024.pem 
server 10.0.0.0 255.255.0.0 
ifconfig-pool-persist ipp.txt 
client-config-dir ccd 
keepalive 10 120 
#tls-auth easy-rsa/keys/ta.key 0 
#cipher DES-EDE3-CBC comp-lzo 
max-clients 16129 
user nobody 
group nobody 
persist-key 
persist-tun 
status status.log 
verb 3 
tun-mtu 1500 
mssfix 1392

Quand je vérifie le nouveau certificat en utilisant cette commande openssl verify -CAfile ca_new.crt server.crt, Je reçois ce message,

server.crt: /C=FR/ST=Nord/L=Annoeullin/O=CALEO-CTC/CN=server/[email protected] error 10 at 0 depth lookup:certificate has expired OK

c'est le fichier status.log:

OpenVPN CLIENT LIST
Updated,Wed Sep  2 14:38:32 2015
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
UNDEF,193.248.149.52:48211,343,3344,Wed Sep  2 14:38:21 2015
UNDEF,193.50.22.130:33870,341,4712,Wed Sep  2 14:38:16 2015
UNDEF,193.252.209.244:38024,343,7448,Wed Sep  2 14:38:04 2015
UNDEF,82.127.230.103:55210,343,7904,Wed Sep  2 14:38:01 2015
UNDEF,193.50.22.130:54559,341,12920,Wed Sep  2 14:37:35 2015
UNDEF,194.206.44.228:28159,343,4712,Wed Sep  2 14:38:16 2015
UNDEF,92.155.150.105:35158,343,1976,Wed Sep  2 14:38:29 2015
UNDEF,213.30.150.186:50232,343,3800,Wed Sep  2 14:38:21 2015
......................
......................
......................
UNDEF,80.13.217.56:51206,342,5624,Wed Sep  2 14:38:12 2015
UNDEF,194.206.44.228:29930,343,3344,Wed Sep  2 14:38:22 2015
UNDEF,92.155.150.105:45657,343,2888,Wed Sep  2 14:38:23 2015
UNDEF,92.147.131.148:50109,343,9272,Wed Sep  2 14:37:53 2015
UNDEF,109.6.229.178:59124,343,12920,Wed Sep  2 14:37:39 2015
UNDEF,194.206.44.228:32420,343,13376,Wed Sep  2 14:37:34 2015
UNDEF,109.6.229.178:35403,343,2432,Wed Sep  2 14:38:26 2015
UNDEF,82.127.230.103:58576,343,12920,Wed Sep  2 14:37:39 2015
UNDEF,185.39.170.34:20415,343,7904,Wed Sep  2 14:38:02 2015
UNDEF,185.39.170.34:20407,343,11096,Wed Sep  2 14:37:46 2015
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END

sur les ordinateurs clients, il y a 4 fichiers:

- client.crt
- client.key
- ca.crt
- config.ovpn

Comment puis-je résoudre le problème pour résoudre le problème? Quel est le problème?

abdel
la source

Réponses:

2

error 10 at 0 depth signifie votre serveur cert a expiré, pas votre cert. Émettez un nouveau certificat de serveur - pour la même clé privée si vous le souhaitez, et définitivement pour le même DN - et utilisez-le. La raison principale pour avoir / utiliser une autorité de certification est que vous pouvez émettre des certificats enfant (serveur et client) chaque fois que cela est nécessaire, sans avoir à les distribuer manuellement, mais en distribuant uniquement le cert.

dave_thompson_085
la source
merci pour votre réponse, j'ai construit un nouveau serveur de clés et de certificats. Mon objectif est de ne rien changer sur l'ordinateur client. Est-ce possible sans distribuer le nouveau cert CA?
abdel
@abdel Si l'ancien certificat de CA n'a pas expiré (et en supposant que le nouveau certificat de serveur est émis à l'aide de l'ancien certificat de l'autorité de certification ou d'un nouveau certificat de certification ayant la même clé, Subject = Issuer for CA et serial, que votre x509 -signkey votre nouveau certificat de serveur fonctionnera pour un client qui a / conserve l’ancien certificat d’autorité de certification.
dave_thompson_085
merci pour votre réponse, mais que se passera-t-il si l'ancien certificat CA a expiré? les clients ne peuvent pas se connecter tant que je n'ai pas remplacé l'ancienne autorité de certification par la nouvelle?
abdel
Si un certificat de CA a expiré, il n'est plus valide et un client qui l'utilise ne fait pas confiance aux certificats émis et vérifiés en vertu de celui-ci Oui vous devrez distribuer et installer un nouveau certificat d’autorité de certification. C'est la raison principale pour laquelle un certificat de CA a généralement une longue période de validité et le CA doit garder sa clé privée en sécurité pendant plus longtemps.
dave_thompson_085