On Sat, 26 Aug 2017, Vasas, Krisztián wrote:
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról.
Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy
ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey,
hanem -inkey van.
Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb
visszavontuk.
Igen, erről van szó.
Tudsz ajánlani ehhez egy step-by-step leírást?
Szóval hogy mi a teendő, amikor
- a ca.crt kezd lejárni
- a cliensek crt-i kezdenek lejárni
Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes kliensnek
el kell juttatni az újat. Viszont - ha jól tévedek - ekkor az összes certet
meg kell újítani, lévén az a régi CA-val lett aláírva. Innentől szerintem
egyszerűbb, ha nulláról kezded újra, pl Zsiga leírása alapján...
Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még)
működő VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is
olyan egyszerű.
Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban is
működjön a kapcsolat, amíg mindenki megkapja az új certet/kulcsát.
Tehát még működik a régi cert, de már van egy újabb, azokat folyamatosan
megkapják a kliensek, majd amikor mind lefrissült akkor a régi cert "goto
kuka".
-Sygma
_________________________________________________
linux lista - linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux