Guten Abend, ich brauche Experten Hilfe. Ich habe hier ein Openvpn Setup von ca 80 Clients. Leider verfallen die meisten Zertifikate im kommenden Jahr. Gibt es die Möglichkeit die Zertifikate zu verlängern? Wie sieht so eine Verlängerung aus? Muss auf den Clients was gemacht werden? Danke für Eure Hilfe
RitterSport schrieb: > Gibt es die Möglichkeit die Zertifikate zu verlängern? Jein. Technisch werden Zertifikate nicht verlängert, sondern neu ausgestellt. RitterSport schrieb: > Wie sieht so eine Verlängerung aus? Genau wie die ursprüngliche Erzeugung, nur ein neuer Key ist nicht notwendig. RitterSport schrieb: > Muss auf den Clients was gemacht werden? Klar, die brauchen das neue Zertifikat, mit dem sie sich dann ausweisen.
RitterSport schrieb: > Heist das das der client.key und das ca.crt das alte bleibt? Ja, es geht ja nur um die Erneuerung des Client-Zertifikats.
Hmmm schrieb: > RitterSport schrieb: >> Heist das das der client.key und das ca.crt das alte bleibt? > > Ja, es geht ja nur um die Erneuerung des Client-Zertifikats. giebt es für Easy-Rsa einen speziellen Befehl um das Zertifikat zu erneuern? Danke für die Hilfe
Wir wissen ja nicht, wer der Aussteller/Eigentümer von ca.crt ist. Sollte Dies bei der OpenVpn-Installation selbst erstellt worden sein, müsste es dazu auch irgendwo noch eine ca.key (RootKey) geben. Mit diesem können neue Zertifikate für die Clients ausgestellt werden. Achtung, auch dieses Root-Zertifikat hat ein Ablaufdatum! Wem dieses Root-Zertifikat gehört, zeigen sowohl Windows, als auch aktuelle Linux-Desktops an, wenn die Datei damit geöffnet wird (Aussteller=Subject=???). Eventuell war hier auch eine externe CA im Spiel.
Die Zertifikate sind selbsterstellt. Habe die Zertifikate mit Easy-Rsa erzeugt. Können die Keys auch ablaufen?
Nur als Hinweis: Man kann ein Zertifikat nicht "verlaengern". Man kann nur ein neues Zertifikat mit einem neuen Datum ausstellen. Man kann aber beide Zertifikate bis zum Ablaufdatum parallel benutzen. Dan kann die Verwaltung erleichtern. Ein Revoke der alten Zertifikate kann man sich logischerweise sparen. Beim Ausstellen der neuen Zertifikate sollte man aus dem Vorgang selbst etwas gelernt haben: Zu knapp bemessene Ablaufdaten sind sinnfrei.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.