Generování nového certifikátu po vypršení starého

Ahoj,

spravuju OpenVPN server, na kterém je přístup pomocí certifikátů chráněných heslem. Certifikáty jsou generovány příkazem "./build-key-pass username", spouštěném v adresáři s easy-rsa skripty. Tím je novému uživateli vygenerován klíč (.key) a certifikát (.crt), na serveru dále zůstává ještě .pem soubor. Certifikáty jsou vydávány s platností na jeden rok (z bezpečnostních důvodů). Jak mám postupovat po vypršení platnosti certifikátu? Využije se původní .key soubor a k němu se vygeneruje jen nový certifikát (jak?), nebo se musí udělat komplet nový pár .key+.crt?

Děkuju za rady. Lukáš.

Presneji 'revokovat' stary certifikat a vystavit novy.

17.11.2011 21:14 LS
Rozbalit Rozbalit vše Re: Generování nového certifikátu po vypršení starého

Děkuji za obě rady. Budu tedy vždy generovat nový pár klič+certifikát. Revokovat musím ale jen certifikát ještě v době jeho platnosti, ne? Pokud se bude nový generovat až po vypršení platnosti starého, revokace jaksi nedává smysl, tedy pokud správně chápu o co jde. Nebo revokace (skript easy-rsa/revoke-full) nějak zneplatňuje nejen certifikát, ale i klíč?

18.11.2011 12:24 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Generování nového certifikátu po vypršení starého

Pokud už bude po platnosti, tak je to jedno (a víceméně jestli nemáte řešenou nějakou distribuci a kontrolu CRL nebo OCSP, tak je to taky jedno...) - nicméně obvykle se ten certifikát mění před uplynutí platnosti předchozího - tedy vyměnit dokud vše ještě funguje a ne až po tom, co dotyčný křičí, že mu nejde VPN :)

Dotaz: Generování nového certifikátu po vypršení starého

Odpovědi