On 2017-08-26 16:57, Szima Gábor wrote:
On Sat, 26 Aug 2017, Vasas, Krisztián wrote:
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsítvány generálásáról van szó, hanem
megújításról.
Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy
ugyanolyat a régi privát kulcs megadása mellett - azaz nincs
-newkey, hanem -inkey van.
Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb
visszavontuk.
Igen, erről van szó.
Tudsz ajánlani ehhez egy step-by-step leírást?
Szóval hogy mi a teendő, amikor
- a ca.crt kezd lejárni
- a cliensek crt-i kezdenek lejárni
Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes
kliensnek el kell juttatni az újat. Viszont - ha jól tévedek - ekkor
az összes certet meg kell újítani, lévén az a régi CA-val lett
aláírva. Innentől szerintem egyszerűbb, ha nulláról kezded újra, pl
Zsiga leírása alapján...
Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még)
működő VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem
is olyan egyszerű.
Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban is
működjön a kapcsolat, amíg mindenki megkapja az új certet/kulcsát.
Tehát még működik a régi cert, de már van egy újabb, azokat
folyamatosan megkapják a kliensek, majd amikor mind lefrissült akkor a
régi cert "goto kuka".
Mindegy, mert a CA-t nem lehet hosszabbítani, csak újat kiadni. Onnantól
a régi CA nem lesz érvényes. Vagy csinálsz egy másik VPN szervert az új
CA-val, szépen egyesével állítva át az újra a klienseket, vagy pedig
orbitális szívás elé nézel...
IroNiQ
_________________________________________________
linux lista - linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux
