On Mon, 28 Aug 2017, Szima Gábor wrote:
Azt hiszem megvan a megoldás, és igencsak egyszerű...
openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key -sha256
Azután a ca.key -t bármilyen sorrendben le lehet cserélni.
Fix: nem a key-t, hanem az új crt-re a régit.
On Sat, 26 Aug 2017, Szládovics Péter wrote:
TinyCA vagy easy rsa.
easyrsa jo, szertem.
Udvd,
-=Lajbi=-
LAJBER Zoltan
engineer: a mechanism for converting caffeine into designs.
On Mon, 28 Aug 2017, Szima Gábor wrote:
A szerver cert-ről se feledkezzünk meg, általában egyszerre készül a root
certtel:
Ez nem árt:
./revoke-full server
openssl ca -days 3650 -out server_new.crt -in server.csr -extensions server
-md sha256 -config openssl.cnf
Aztán a kliensek szép sor
On Mon, 28 Aug 2017, Szima Gábor wrote:
Csak nem szabad megvárni a cert lejártát, mert utána kakukk.
Mármint lejárat után is tudunk újítani, csak akkor már nem épül fel a
kapcsolat, így VPN-en nem tudjuk eljuttatni a megújított certeket, csak
"lóra, magyar!" módszerrel.
Azt hiszem megvan a megoldás, és igencsak egyszerű...
openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key -sha256
Azután a ca.key -t bármilyen sorrendben le lehet cserélni. Lehet a
szerveren először, majd utána a klienseken szép sorban, vagy fordítva, a
meglévő kapcsolatok műkö
On 2017-08-27 12:37, Kosa Attila wrote:
On Sat, Aug 26, 2017 at 04:57:55PM +0200, Szima Gábor wrote:
Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még)
működő
VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan
egyszerű.
Ezért lenne fontos egy olyan mego
2017-08-27 11:22 keltezéssel, Szima Gábor írta:
On Sun, 27 Aug 2017, Szima Gábor wrote:
Most már csak ebben tér el:
Subject/Issuer is eltérő (régi/új):
Issuer: C=.., ST=..., L=..., O=Sygma, CN=Sygma
CA/emailAddress=sy...@tesla.hu
Issuer: C=.., ST=..., L=..., O=Sygma/emailAddress=sy...@tes
On Sat, Aug 26, 2017 at 04:57:55PM +0200, Szima Gábor wrote:
>
> Ezzel az a baj, ha több (száz) kliens van, ráadásul azok csak a (még) működő
> VPN csatornán keresztül érhető el/lehet frissíteni, akkor nem is olyan
> egyszerű.
>
> Ezért lenne fontos egy olyan megoldás, hogy az átmeneti időszakban
On Sun, 27 Aug 2017, Szima Gábor wrote:
Most már csak ebben tér el:
Subject/Issuer is eltérő (régi/új):
Issuer: C=.., ST=..., L=..., O=Sygma, CN=Sygma
CA/emailAddress=sy...@tesla.hu
Issuer: C=.., ST=..., L=..., O=Sygma/emailAddress=sy...@tesla.hu
CN-t kitöltve:
Common Name (eg, your name
On Sun, 27 Aug 2017, Szima Gábor wrote:
Az "X509v3 extensions:" eltér, az újban nincs benne:
X509v3 Subject Key Identifier:
X509v3 Authority Key Identifier:
DirName:/C=../ST=.../L=.../O=Sygma/CN=Sygma CA/emailAddress=sy...@tesla.hu
Ez viszont az újban van csak benne:
X509v3 Key Usage: Digit
On Sat, 26 Aug 2017, Szládovics Péter wrote:
Ha megnézed a két CA-t az 'openssl x509 -in -noout -text'
paranccsal, akkor mit látsz?
Az "X509v3 extensions:" eltér, az újban nincs benne:
X509v3 Subject Key Identifier:
X509v3 Authority Key Identifier:
DirName:/C=../ST=.../L=.../O=Sygma/CN
2017-08-26 23:39 keltezéssel, Hegedüs Ervin írta:
Hello,
On Sat, Aug 26, 2017 at 11:35:23PM +0200, Szládovics Péter wrote:
kicsit elkanyarodik az eredeti kérdéstől, de miért kell PFX? Én
használok pár helyen OpenVPN-t, a kliensek vegyesen Win7/10, ill.
Linux, de PFX-et még soha senkinek nem kel
Hello,
On Sat, Aug 26, 2017 at 11:35:23PM +0200, Szládovics Péter wrote:
> >kicsit elkanyarodik az eredeti kérdéstől, de miért kell PFX? Én
> >használok pár helyen OpenVPN-t, a kliensek vegyesen Win7/10, ill.
> >Linux, de PFX-et még soha senkinek nem kellett generálnom, a sima
> >PEM formátum jó v
2017-08-26 21:59 keltezéssel, Szima Gábor írta:
On Sat, 26 Aug 2017, Szládovics Péter wrote:
openssl req -config .cnf -new -key
-x509 -days <érvényesség_napokban_pl_3650>
-extensions certauth -outform PEM -out
-extensions certauth (nálam) nincs, csak v3_ca.
Ok, ez igaz, nekem külön open
On Sat, Aug 26, 2017 at 08:56:04PM +0200, Szládovics Péter wrote:
Kevés esélyt látok arra, hogy a régi és az új CA fingerprintje
azonos legyen. Anélkül meg az új CA elhajtja a vérbe a régi
certeket...
Hát, kipróbáltam: azonos lett. :)
Sőt, csináltam két test certet, az egyiket az egyikkel, a más
On Sat, 26 Aug 2017, Szládovics Péter wrote:
openssl req -config .cnf -new -key
-x509 -days <érvényesség_napokban_pl_3650>
-extensions certauth -outform PEM -out
-extensions certauth (nálam) nincs, csak v3_ca.
Kevés esélyt látok arra, hogy a régi és az új CA fingerprintje azonos
legyen.
On Sat, Aug 26, 2017 at 08:56:04PM +0200, Szládovics Péter wrote:
> >Kevés esélyt látok arra, hogy a régi és az új CA fingerprintje
> >azonos legyen. Anélkül meg az új CA elhajtja a vérbe a régi
> >certeket...
>
> Hát, kipróbáltam: azonos lett. :)
> Sőt, csináltam két test certet, az egyiket az eg
On Sat, 26 Aug 2017, Szládovics Péter wrote:
A régi CA hogyan készült?
easy-rsa 2.0/build-ca
-Sygma
_
linux lista - linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo
2017-08-26 18:51 keltezéssel, Vasas, Krisztián írta:
On 2017-08-26 17:45, Szládovics Péter wrote:
2017-08-26 17:18 keltezéssel, Vasas, Krisztián írta:
On 2017-08-26 16:57, Szima Gábor wrote:
On Sat, 26 Aug 2017, Vasas, Krisztián wrote:
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug
On 2017-08-26 17:45, Szládovics Péter wrote:
2017-08-26 17:18 keltezéssel, Vasas, Krisztián írta:
On 2017-08-26 16:57, Szima Gábor wrote:
On Sat, 26 Aug 2017, Vasas, Krisztián wrote:
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsí
2017-08-26 17:18 keltezéssel, Vasas, Krisztián írta:
On 2017-08-26 16:57, Szima Gábor wrote:
On Sat, 26 Aug 2017, Vasas, Krisztián wrote:
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsítvány generálásáról van szó, hanem
megújításr
On 2017-08-26 16:57, Szima Gábor wrote:
On Sat, 26 Aug 2017, Vasas, Krisztián wrote:
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsítvány generálásáról van szó, hanem
megújításról.
Ahhoz viszont elég, ha megvana régi CSR fájl, vagy
2017-08-26 16:57 keltezéssel, Szima Gábor írta:
On Sat, 26 Aug 2017, Vasas, Krisztián wrote:
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsítvány generálásáról van szó, hanem
megújításról.
Ahhoz viszont elég, ha megvana régi CSR f
On Sat, 26 Aug 2017, Vasas, Krisztián wrote:
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról.
Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy
ugyanolyat a régi privát
2017-08-26 15:55 keltezéssel, Vasas, Krisztián írta:
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról.
Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy
ugyanolyat a régi
On 2017-08-26 15:49, Szima Gábor wrote:
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsítvány generálásáról van szó, hanem
megújításról.
Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy
ugyanolyat a régi privát kulcs megadása mellett - azaz nincs -newkey,
h
On Thu, 24 Aug 2017, Szládovics Péter wrote:
Szerintem nem új tanúsítvány generálásáról van szó, hanem megújításról.
Ahhoz viszont elég, ha megvana régi CSR fájl, vagy csinálunk egy ugyanolyat a
régi privát kulcs megadása mellett - azaz nincs -newkey, hanem -inkey van.
Aztán aláírjuk - mindez
2017-08-25 07:43 keltezéssel, Kosa Attila írta:
On Thu, Aug 24, 2017 at 11:06:30PM +0200, Szládovics Péter wrote:
On 2017-08-24 21:20, Kosa Attila wrote:
On Thu, Aug 24, 2017 at 08:15:25PM +0200, Kosa Attila wrote:
On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote:
A lényeg: lassacs
On Thu, Aug 24, 2017 at 11:06:30PM +0200, Szládovics Péter wrote:
> >On 2017-08-24 21:20, Kosa Attila wrote:
> >>On Thu, Aug 24, 2017 at 08:15:25PM +0200, Kosa Attila wrote:
> >>>On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote:
>
> A lényeg: lassacskán lejáró szerver/kliens ce
2017-08-24 21:26 keltezéssel, Vasas, Krisztián írta:
On 2017-08-24 21:20, Kosa Attila wrote:
On Thu, Aug 24, 2017 at 08:15:25PM +0200, Kosa Attila wrote:
On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote:
>
> Tudtok ajánlani egy jó step-by-step leírást OpenVPN cert
hosszabbításról?
On 2017-08-24 21:20, Kosa Attila wrote:
On Thu, Aug 24, 2017 at 08:15:25PM +0200, Kosa Attila wrote:
On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote:
>
> Tudtok ajánlani egy jó step-by-step leírást OpenVPN cert hosszabbításról?
> Gugliztam párat, de eddig mindegyik javaslat hibára fu
On Thu, Aug 24, 2017 at 08:15:25PM +0200, Kosa Attila wrote:
> On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote:
> >
> > Tudtok ajánlani egy jó step-by-step leírást OpenVPN cert hosszabbításról?
> > Gugliztam párat, de eddig mindegyik javaslat hibára futott
> > (SSL3_GET_SERVER_CERTIFIC
On Thu, Aug 24, 2017 at 06:00:19PM +0200, Szima Gábor wrote:
>
> Tudtok ajánlani egy jó step-by-step leírást OpenVPN cert hosszabbításról?
> Gugliztam párat, de eddig mindegyik javaslat hibára futott
> (SSL3_GET_SERVER_CERTIFICATE:certificate verify failed).
>
> A lényeg: lassacskán lejáró szerve
Sziasztok!
Tudtok ajánlani egy jó step-by-step leírást OpenVPN cert hosszabbításról?
Gugliztam párat, de eddig mindegyik javaslat hibára futott
(SSL3_GET_SERVER_CERTIFICATE:certificate verify failed).
A lényeg: lassacskán lejáró szerver/kliens cert-eket szeretném megújítani.
34 matches
Mail list logo