Openvpn, настраивающий новый CA.cert, ключ сервера при старой настройке
Я по ошибке удалил папку ключей с ca.cert, server.key и dh2048.perm. У меня есть несколько клиентов, расположенных в разных местах, которые все еще подключаются к серверу.
Я хочу сгенерировать новый набор ca.cert, server.key и dh2048.perm и клиентских ключей, не затрагивая тех клиентов, которые уже подключаются к серверу. Какое может быть возможное решение?
Можно ли использовать build-server-key, build-ca и build-dh для новых клиентов, которые я разверну на том же сервере, или мне нужно иметь полную другая настройка? Я не уверен, сколько старых клиентов все еще подключаются!
Заранее спасибо!
Вы перезапустили свой сервер OpenVPN? Если вы этого не сделаете, это объяснило бы, почему клиенты могут подключаться: сервер прочитал файлы, которые вы удалили при запуске, и поэтому он может проверить сертификаты, представленные клиентами (серверу нужно только содержимое Сертификат CA для их проверки).
Что касается возможного решения…
Ну, один из способов - создать другой экземпляр OpenVPN, прослушивающий отдельный порт (скажем, в Debian и его производных это работает коробки - путем создания другого файла конфигурации с другим настроенным портом (ами). Вы должны создать совершенно другую настройку CA (PKI) для этого istance.
Затем вы можете повторно развернуть пару ключ + сертификат для всех существующих клиентов, использующих этот новый CA, и развернуть их - с необходимыми настройками в их файлах конфигурации для учета другого порта сервера - на существующих клиентах, эффективно переключая их на новый сервер.
После этого обновления вы можете перенастроить исходный экземпляр OpenVPN для использования новая настройка CA - в основном просто делая его конфигурацию идентичной второй экземпляр - по модулю исходного порта (ов).
После этого переключения вы получите два идентичных экземпляра OpenVPN которые отличаются только портами, которые они прослушивают. Таким образом, вы можете повторить итерацию по своим клиентам еще раз - на этот раз изменив настроенные порты на исходный экземпляр.
После завершения этой последовательности вы обновите все клиенты.
TL; DR
- ] Создайте новый PKI.
- Настройте отдельный экземпляр OpenVPN, используя этот PKI.
- Повторнонакатить новые связки ключей + сертификатов + сертификатов CA для существующих клиентов.
- Обновить существующие клиенты с помощью этих пакетов, перенастроив их к новому экземпляру OpenVPN один за другим.
- Перенастройте исходный экземпляр для использования нового PKI.
- Обновите существующие клиенты, чтобы снова настроить таргетинг на исходный экземпляр.