Re: ***UNCHECKED*** Re: OpenVPN cert hosszabbítás
2017-08-26 23:39 keltezéssel, Hegedüs Ervin írta: Hello, On Sat, Aug 26, 2017 at 11:35:23PM +0200, Szládovics Péter wrote: kicsit elkanyarodik az eredeti kérdéstől, de miért kell PFX? Én használok pár helyen OpenVPN-t, a kliensek vegyesen Win7/10, ill. Linux, de PFX-et még soha senkinek nem kellett generálnom, a sima PEM formátum jó volt. Nem kell PFX, csak azért csináltam, mert azt csak konzisztensen lehet. Ha nem stimmel a ca/cert/kulcs valamelyike, akkor nem készül el. ok, bár volt egy korábbi leveled is, abban kicsit határozottabban utaltál a PFX szükségességére: Igen, a kliensnél, de valóban meg lehet adni külön mindent PEM formátumban. Régen openvpn-eltem klienstanúsítvánnyal. Bár a korábbiakban sem mondtam 100%-ra :) On Fri, Aug 25, 2017 at 11:18:04AM +0200, Szládovics Péter wrote: Ettől még a másik megoldás is működik, csak akkor új privát kulcs is kell - ilyen szempontból mondjuk mindegy is, mert ha az emlékeim nem csalnak, akkor az OpenVPN esetében a kliensnek PFX kell, azt meg mindenképp újra kell generálni. de ne érts félre légyszi, nem szembesíteni akarlak :), csak eléggé az jött át ebből a két levélből, hogy a PFX formátum _kell_. Nem kell. Csak a chain mindig konzisztens. Ha valami sem OK, az openssl hibát dob. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
***UNCHECKED*** Re: OpenVPN cert hosszabbítás
Hello, On Sat, Aug 26, 2017 at 11:35:23PM +0200, Szládovics Péter wrote: > >kicsit elkanyarodik az eredeti kérdéstől, de miért kell PFX? Én > >használok pár helyen OpenVPN-t, a kliensek vegyesen Win7/10, ill. > >Linux, de PFX-et még soha senkinek nem kellett generálnom, a sima > >PEM formátum jó volt. > > Nem kell PFX, csak azért csináltam, mert azt csak konzisztensen > lehet. Ha nem stimmel a ca/cert/kulcs valamelyike, akkor nem készül > el. ok, bár volt egy korábbi leveled is, abban kicsit határozottabban utaltál a PFX szükségességére: On Fri, Aug 25, 2017 at 11:18:04AM +0200, Szládovics Péter wrote: > Ettől még a másik megoldás is működik, csak akkor új privát > kulcs is kell - ilyen szempontból mondjuk mindegy is, mert ha az > emlékeim nem csalnak, akkor az OpenVPN esetében a kliensnek PFX kell, > azt meg mindenképp újra kell generálni. de ne érts félre légyszi, nem szembesíteni akarlak :), csak eléggé az jött át ebből a két levélből, hogy a PFX formátum _kell_. a. -- I � UTF-8 _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
***UNCHECKED*** Re: OpenVPN cert hosszabbítás
2017-08-26 21:59 keltezéssel, Szima Gábor írta: On Sat, 26 Aug 2017, Szládovics Péter wrote: openssl req -config .cnf -new -key -x509 -days <érvényesség_napokban_pl_3650> -extensions certauth -outform PEM -out -extensions certauth (nálam) nincs, csak v3_ca. Ok, ez igaz, nekem külön openssl.cnf volt, abban volt definiálva. Kevés esélyt látok arra, hogy a régi és az új CA fingerprintje azonos legyen. Anélkül meg az új CA elhajtja a vérbe a régi certeket... Hát, kipróbáltam: azonos lett. :) Nekem nem, de ha többször megismételtem ezt a fingerprint mindegyiknél más. Egyébként nem engedte be az újjal. Ha más a fingerprint, nem fogja. Ha a kulcsok azonosak, azaz a régi CA kulcsával csináltad az újat, akkor a subject nem stimmel. Ha megnézed a két CA-t az 'openssl x509 -in -noout -text' paranccsal, akkor mit látsz? Copy+Paste jöhet nyugodtan, a hexdumpok nélkül. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux