Eu tenho um problema com o certificado da CA no openvpn, ele expirou e os clientes não podem se conectar. Eu tentei criar um novo certificado com o ca.key, mas não funcionou.
Aqui está o comando que usei para criar o novo certificado: openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key
Depois disso, mudei a configuração do arquivo openvpn para indicar que o novo certificado é ca_new.crt.
Aqui está o meu arquivo de configuração:
port 1194 proto udp dev tun client-to-client ca easy-rsa/keys/ca_new.crt cert easy-rsa/keys/server.crt key easy-rsa/keys/server.key #crl-verify easy-rsa/keys/crl.pem dh easy-rsa/keys/dh1024.pem server 10.0.0.0 255.255.0.0 ifconfig-pool-persist ipp.txt client-config-dir ccd keepalive 10 120 #tls-auth easy-rsa/keys/ta.key 0 #cipher DES-EDE3-CBC comp-lzo max-clients 16129 user nobody group nobody persist-key persist-tun status status.log verb 3 tun-mtu 1500 mssfix 1392
Quando eu verifico o novo certificado usando este comando openssl verify -CAfile ca_new.crt server.crt , recebo esta mensagem
server.crt: /C=FR/ST=Nord/L=Annoeullin/O=CALEO-CTC/CN=server/[email protected] error 10 at 0 depth lookup:certificate has expired OK
este é o arquivo status.log:
OpenVPN CLIENT LIST Updated,Wed Sep 2 14:38:32 2015 Common Name,Real Address,Bytes Received,Bytes Sent,Connected Since UNDEF,193.248.149.52:48211,343,3344,Wed Sep 2 14:38:21 2015 UNDEF,193.50.22.130:33870,341,4712,Wed Sep 2 14:38:16 2015 UNDEF,193.252.209.244:38024,343,7448,Wed Sep 2 14:38:04 2015 UNDEF,82.127.230.103:55210,343,7904,Wed Sep 2 14:38:01 2015 UNDEF,193.50.22.130:54559,341,12920,Wed Sep 2 14:37:35 2015 UNDEF,194.206.44.228:28159,343,4712,Wed Sep 2 14:38:16 2015 UNDEF,92.155.150.105:35158,343,1976,Wed Sep 2 14:38:29 2015 UNDEF,213.30.150.186:50232,343,3800,Wed Sep 2 14:38:21 2015 ...................... ...................... ...................... UNDEF,80.13.217.56:51206,342,5624,Wed Sep 2 14:38:12 2015 UNDEF,194.206.44.228:29930,343,3344,Wed Sep 2 14:38:22 2015 UNDEF,92.155.150.105:45657,343,2888,Wed Sep 2 14:38:23 2015 UNDEF,92.147.131.148:50109,343,9272,Wed Sep 2 14:37:53 2015 UNDEF,109.6.229.178:59124,343,12920,Wed Sep 2 14:37:39 2015 UNDEF,194.206.44.228:32420,343,13376,Wed Sep 2 14:37:34 2015 UNDEF,109.6.229.178:35403,343,2432,Wed Sep 2 14:38:26 2015 UNDEF,82.127.230.103:58576,343,12920,Wed Sep 2 14:37:39 2015 UNDEF,185.39.170.34:20415,343,7904,Wed Sep 2 14:38:02 2015 UNDEF,185.39.170.34:20407,343,11096,Wed Sep 2 14:37:46 2015 ROUTING TABLE Virtual Address,Common Name,Real Address,Last Ref GLOBAL STATS Max bcast/mcast queue length,0 END
nos computadores clientes, há 4 arquivos:
- client.crt - client.key - ca.crt - config.ovpn
Como posso resolver ainda mais o problema para descobrir o problema? Qual é o problema?
error 10 at 0 depth significa que o seu certificado servidor expirou, não o seu certificado CA. Emita um novo certificado de servidor - para a mesma chave privada, se desejar, e definitivamente para o mesmo DN - e use isso. Toda a razão para ter / usar uma CA é para que você possa emitir certs filho (servidor e cliente) sempre que necessário, sem o incômodo de distribuí-los manualmente, distribuindo apenas o certificado CA.
Tags vpn openvpn certificate