OpenVPN, легкий перевыпуск корневого сертификата

в 9:10, , рубрики: OpenVPN ca.crt expired renewal, Сетевые технологии, системное администрирование, метки:

Доброго времени суток. Предыстория такова: десять лет назад мной была поднята инфраструктура сети салонов сотовой связи, распределенная по области. В качестве учетного решения использовалась система 1С: Предприятие 7.7 в режиме распределенной базы данных. Для обмена данными использовалась обычная сетевая папка windows, доступ к которой осуществлялся через туннель OpenVPN. И вот как-то неделю назад полностью остановился обмен информацией между центром и периферией. Почему-то сразу закралась мысль — неужели прошло десять лет (именно на этот срок делался корневой сертификат). Анализ логов подтвердил проблему, схема отлично себя зарекомендовала за эти десять лет, но пришел срок. И что же теперь, генерировать заново весь объем клиентских и серверных ключей/сертификатов??? Нет, можно поступить немного проще…

OpenSSL позволяем перевыпустить сертификат и подписать его старым приватным ключем, при этом сохраняется структура Modulus сертификата и новый сертификат успешно проверяет старые сертификаты клиентов.

Создаем новый сертификат:

openssl x509 -in ca.crt -days 36500 -out ca-new.crt -signkey ca.key

Получаем ответ:

Getting Private key

и новый сертификат ca-new.crt

Выполним проверку сертификата клиента новым корневым сертификатом:

openssl verify -CAfile ca-new.crt client9.crt

Все хорошо:

client9.crt: OK

Следующей командой можно посмотреть содержимое сертификата и убедиться что у нового и старого сертификата Modulus одинаков:

openssl x509 -noout -text -in ca-new.crt

Все вроде бы очень хорошо, рассылаем новый сертификат, предварительно переименовав его по образу старого с инструкцией пользователю куда его подложить (перезаписываем старый).

Перезапускаем службу на сервере и смотрим как подключатся клиенты. К сожалению не все клиенты это сделали успешно. У некоторых в логе получили:

Tue Mar 21 15:12:18 2017 VERIFY ERROR: depth=1, error=certificate signature failure: /C=RU...

Вот здесь пришлось потерять несколько часов, в итоге выяснилось что на клиентских компьютерах также не срабатывает проверка сертификата клиента:

openssl verify -CAfile ca-new.crt client9.crt

Версия openssl (в составе OpenVPN ) оказалась старая и не хотела успешно проверять.

Соответственно у проблемных клиентов пришлось обновить OpenVPN до версии 2.3.3 (такая использовалась у меня, про другие ничего сказать не могу, но полагаю что более новые версии также будут вести себя положительно) и система отправлена в плавание еще на 10 лет.

Автор: sergling

Источник

Поделиться

* - обязательные к заполнению поля