2017-08-26 15:55 keltezéssel, Vasas, Krisztián írta:
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról.
Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy
ugyanolyat a régi privát kulcs megadása mellett - azaz nincs
-newkey, hanem -inkey van.
Aztán aláírjuk - mindezt persze csak azután, ha a régit előbb
visszavontuk.
Igen, erről van szó.
Tudsz ajánlani ehhez egy step-by-step leírást?
Szóval hogy mi a teendő, amikor
- a ca.crt kezd lejárni
- a cliensek crt-i kezdenek lejárni
Ha a CA is kezd lejárni, akkor azt is újítani kell, tehát az összes
kliensnek el kell juttatni az újat. Viszont - ha jól tévedek - ekkor
az összes certet meg kell újítani, lévén az a régi CA-val lett
aláírva. Innentől szerintem egyszerűbb, ha nulláról kezded újra, pl
Zsiga leírása alapján...
Ez esetben bizony ez van. Javasolt a CA-t hosszabb időre generálni, mint
a kliens certek élettartama, megőrizni jól a privát kilcsot, az index
adatbázist, és legyártani, illetve az OpenVPN-nek megmutatni a CRL-t,
hogy ha egy embernek a VPN jogát meg kell vonni, vagy a tanúsítványa
kompromittálódik (pl. elveszti vagy ellopják a laptopját), akkor ne
kelljen megint új CA és mindenkinek új tanúsítványt csinálni.
Én ugyan manuálisan szontam openssl parancsokat használni (Zsiga leírása
fentebb), de vannak komplett PKI kezelő toolok is, mint a már
említett(?) TinyCA vagy easy rsa.
_________________________________________________
linux lista - linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux