J'ai un problème avec le certificat de CA sur OpenVPN, il a expiré et les clients ne peuvent pas se connecter. J'ai essayé de créer un nouveau certificat avec la clé ca.key, mais cela n'a pas fonctionné.
Voici la commande que j'ai utilisée pour créer le nouveau certificat: openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key
Après cela, j'ai modifié la configuration du fichier openvpn pour indiquer que le nouveau certificat est ca_new.crt.
Voici mon fichier de configuration:
port 1194 proto udp dev tun client-to-client ca easy-rsa/keys/ca_new.crt cert easy-rsa/keys/server.crt key easy-rsa/keys/server.key #crl-verify easy-rsa/keys/crl.pem dh easy-rsa/keys/dh1024.pem server 10.0.0.0 255.255.0.0 ifconfig-pool-persist ipp.txt client-config-dir ccd keepalive 10 120 #tls-auth easy-rsa/keys/ta.key 0 #cipher DES-EDE3-CBC comp-lzo max-clients 16129 user nobody group nobody persist-key persist-tun status status.log verb 3 tun-mtu 1500 mssfix 1392
Quand je vérifie le nouveau certificat en utilisant cette commande openssl verify -CAfile ca_new.crt server.crt
, Je reçois ce message,
server.crt: /C=FR/ST=Nord/L=Annoeullin/O=CALEO-CTC/CN=server/[email protected] error 10 at 0 depth lookup:certificate has expired OK
c'est le fichier status.log:
OpenVPN CLIENT LIST Updated,Wed Sep 2 14:38:32 2015 Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since UNDEF,193.248.149.52:48211,343,3344,Wed Sep 2 14:38:21 2015 UNDEF,193.50.22.130:33870,341,4712,Wed Sep 2 14:38:16 2015 UNDEF,193.252.209.244:38024,343,7448,Wed Sep 2 14:38:04 2015 UNDEF,82.127.230.103:55210,343,7904,Wed Sep 2 14:38:01 2015 UNDEF,193.50.22.130:54559,341,12920,Wed Sep 2 14:37:35 2015 UNDEF,194.206.44.228:28159,343,4712,Wed Sep 2 14:38:16 2015 UNDEF,92.155.150.105:35158,343,1976,Wed Sep 2 14:38:29 2015 UNDEF,213.30.150.186:50232,343,3800,Wed Sep 2 14:38:21 2015 ...................... ...................... ...................... UNDEF,80.13.217.56:51206,342,5624,Wed Sep 2 14:38:12 2015 UNDEF,194.206.44.228:29930,343,3344,Wed Sep 2 14:38:22 2015 UNDEF,92.155.150.105:45657,343,2888,Wed Sep 2 14:38:23 2015 UNDEF,92.147.131.148:50109,343,9272,Wed Sep 2 14:37:53 2015 UNDEF,109.6.229.178:59124,343,12920,Wed Sep 2 14:37:39 2015 UNDEF,194.206.44.228:32420,343,13376,Wed Sep 2 14:37:34 2015 UNDEF,109.6.229.178:35403,343,2432,Wed Sep 2 14:38:26 2015 UNDEF,82.127.230.103:58576,343,12920,Wed Sep 2 14:37:39 2015 UNDEF,185.39.170.34:20415,343,7904,Wed Sep 2 14:38:02 2015 UNDEF,185.39.170.34:20407,343,11096,Wed Sep 2 14:37:46 2015 ROUTING TABLE Virtual Address,Common Name,Real Address,Last Ref GLOBAL STATS Max bcast/mcast queue length,0 END
sur les ordinateurs clients, il y a 4 fichiers:
- client.crt - client.key - ca.crt - config.ovpn
Comment puis-je résoudre le problème pour résoudre le problème? Quel est le problème?
la source
x509 -signkey
votre nouveau certificat de serveur fonctionnera pour un client qui a / conserve l’ancien certificat d’autorité de certification.