certificado CA expirado em openvpn

3

Eu tenho um problema com o certificado da CA no openvpn, ele expirou e os clientes não podem se conectar. Eu tentei criar um novo certificado com o ca.key, mas não funcionou.

Aqui está o comando que usei para criar o novo certificado: openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key

Depois disso, mudei a configuração do arquivo openvpn para indicar que o novo certificado é ca_new.crt.

Aqui está o meu arquivo de configuração:

port 1194 
proto udp 
dev tun client-to-client 
ca easy-rsa/keys/ca_new.crt 
cert easy-rsa/keys/server.crt 
key easy-rsa/keys/server.key 
#crl-verify easy-rsa/keys/crl.pem 
dh easy-rsa/keys/dh1024.pem 
server 10.0.0.0 255.255.0.0 
ifconfig-pool-persist ipp.txt 
client-config-dir ccd 
keepalive 10 120 
#tls-auth easy-rsa/keys/ta.key 0 
#cipher DES-EDE3-CBC comp-lzo 
max-clients 16129 
user nobody 
group nobody 
persist-key 
persist-tun 
status status.log 
verb 3 
tun-mtu 1500 
mssfix 1392

Quando eu verifico o novo certificado usando este comando openssl verify -CAfile ca_new.crt server.crt , recebo esta mensagem

server.crt: /C=FR/ST=Nord/L=Annoeullin/O=CALEO-CTC/CN=server/[email protected] error 10 at 0 depth lookup:certificate has expired OK

este é o arquivo status.log:

OpenVPN CLIENT LIST
Updated,Wed Sep  2 14:38:32 2015
Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since
UNDEF,193.248.149.52:48211,343,3344,Wed Sep  2 14:38:21 2015
UNDEF,193.50.22.130:33870,341,4712,Wed Sep  2 14:38:16 2015
UNDEF,193.252.209.244:38024,343,7448,Wed Sep  2 14:38:04 2015
UNDEF,82.127.230.103:55210,343,7904,Wed Sep  2 14:38:01 2015
UNDEF,193.50.22.130:54559,341,12920,Wed Sep  2 14:37:35 2015
UNDEF,194.206.44.228:28159,343,4712,Wed Sep  2 14:38:16 2015
UNDEF,92.155.150.105:35158,343,1976,Wed Sep  2 14:38:29 2015
UNDEF,213.30.150.186:50232,343,3800,Wed Sep  2 14:38:21 2015
......................
......................
......................
UNDEF,80.13.217.56:51206,342,5624,Wed Sep  2 14:38:12 2015
UNDEF,194.206.44.228:29930,343,3344,Wed Sep  2 14:38:22 2015
UNDEF,92.155.150.105:45657,343,2888,Wed Sep  2 14:38:23 2015
UNDEF,92.147.131.148:50109,343,9272,Wed Sep  2 14:37:53 2015
UNDEF,109.6.229.178:59124,343,12920,Wed Sep  2 14:37:39 2015
UNDEF,194.206.44.228:32420,343,13376,Wed Sep  2 14:37:34 2015
UNDEF,109.6.229.178:35403,343,2432,Wed Sep  2 14:38:26 2015
UNDEF,82.127.230.103:58576,343,12920,Wed Sep  2 14:37:39 2015
UNDEF,185.39.170.34:20415,343,7904,Wed Sep  2 14:38:02 2015
UNDEF,185.39.170.34:20407,343,11096,Wed Sep  2 14:37:46 2015
ROUTING TABLE
Virtual Address,Common Name,Real Address,Last Ref
GLOBAL STATS
Max bcast/mcast queue length,0
END

nos computadores clientes, há 4 arquivos:

- client.crt
- client.key
- ca.crt
- config.ovpn

Como posso resolver ainda mais o problema para descobrir o problema? Qual é o problema?

    
por abdel 02.09.2015 / 14:59

1 resposta

2

error 10 at 0 depth significa que o seu certificado servidor expirou, não o seu certificado CA. Emita um novo certificado de servidor - para a mesma chave privada, se desejar, e definitivamente para o mesmo DN - e use isso. Toda a razão para ter / usar uma CA é para que você possa emitir certs filho (servidor e cliente) sempre que necessário, sem o incômodo de distribuí-los manualmente, distribuindo apenas o certificado CA.

    
por 03.09.2015 / 13:02