abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 15:11 | Komunita

Ubuntu 21.04 bude Hirsute Hippo.

Ladislav Hagara | Komentářů: 13
dnes 13:11 | Nová verze

Byla vydána verze 12.2 svobodného unixového operačního systému FreeBSD. Podrobný přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 2
dnes 07:00 | Nová verze

Byla vydána nová stabilní verze 20.09 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Nightingale. Přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.

Ladislav Hagara | Komentářů: 0
včera 15:55 | IT novinky

Na Indiegogo byla spuštěna kampaň na podporu mobilního telefonu s klávesnicí Pro1 X od společnosti F(x)tec. Na výběr je předinstalovaný LineageOS, Ubuntu Touch nebo Android.

Ladislav Hagara | Komentářů: 12
včera 15:11 | Nová verze

Bylo oznámeno (en) vydání Fedory 33. Ve finální verzi vycházejí tři oficiální edice: Workstation pro desktopové nasazení, Server pro serverové nasazení a IoT pro internet věcí. Vedle nich jsou k dispozici také vznikající edice Silverblue a alternativní desktopy, např. KDE Plasma, Xfce nebo LxQt, a k tomu laby – upravené vydání Fedory například pro designery, robotiku, vědecké použití atd. Stahovat lze z Get Fedora. Přehled novinek v

… více »
Ladislav Hagara | Komentářů: 17
včera 14:22 | Zajímavý článek

V Edici CZ.NIC vyšla kniha Data, čipy, procesory od Martina Malého. Koupit ji lze tištěnou nebo zdarma stáhnout ve formátech PDF (10 MB), EPUB (4,3 MB) a MOBI (11 MB). Jedná se o volné pokračování knih Hradla, volty, jednočipy a Porty, bajty, osmibity.

Ladislav Hagara | Komentářů: 0
včera 13:33 | IT novinky

Společnost AMD kupuje firmu Xilinx za 35 miliard dolarů. V září bylo oznámeno, že společnost Nvidia kupuje firmu Arm za 40 miliard dolarů.

Ladislav Hagara | Komentářů: 4
včera 07:00 | Komunita

Neziskové technologické konsorcium Linux Foundation rozšířilo seznam svých oficiálních projektů. Nejnovějším projektem je SDDI (Software Developer Diversity and Inclusion), jehož cílem je rozšiřování diverzity a inkluze v softwarovém inženýrství.

Ladislav Hagara | Komentářů: 60
včera 06:00 | Komunita

Greg Kroah-Hartman oznámil, že Linux 5.10 bude jádrem s prodlouženou upstream podporou (LTS, Long Term Support). Aktuální jádra s prodlouženou podporou jsou 4.4, 4.9, 4.14, 4.19 a 5.4.

Ladislav Hagara | Komentářů: 0
26.10. 18:22 | Komunita

Uživatelé linuxové distribuce Debian mají možnost hlasovat o výchozím grafickém motivu Debianu 11 aneb Bullseye.

Ladislav Hagara | Komentářů: 9
Které aspekty uživatelského rozhraní textového editoru považujete za důležité?
 (70%)
 (37%)
 (33%)
 (17%)
 (24%)
 (16%)
Celkem 227 hlasů
 Komentářů: 21, poslední 23.10. 17:33
Rozcestník

Dotaz: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.

17.10. 18:14 Rycmond | skóre: 10 | Úpice
EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
Přečteno: 245×
Ahoj, potřeboval bych poradit, jak dogenerovat nové certifikáty pro klienty do OPEVPN.

Již mám serverové certifikáty server.crt a server.key.

Stáhnul jsem si /EasyRSA-3.0.4, ale nepovedlo se mě to, aby se načetli stávající certifikáty a vytvořil nové pro nové klienty. Všechny návody které jsem našel, to popisují od začátku.

Předem díky za radu :-).

Řešení dotazu:


Odpovědi

17.10. 18:57 PetebLazar | skóre: 23 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
Při využití certifikátů se v OpenVPN předokládá, že všechny certifikáty na obou stranách (OpenVPN server i OpenVPN klienti) budou vystaveny jednou CA. Součástí konfigurace klienta je kromě config.ovpn a jeho klíče(.key) a certfikátu(.crt) také ca.crt (certifikát autority), případně ta.key.

Čím (jakou CA) byly podepsány(vystaveny) zmíněné serverové certifikáty? Nabízí se stejnou CA vystavit i ty klientské.
17.10. 19:31 PetebLazar | skóre: 23 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
Neuvědomil jsem si, že zmíněné certifikáty mohly být vystaveny veřejnou CA, v takové případě by to při více klientech (museli by mít certifikáty také od ní) byl asi drahý špás.

Při OpenVPN spojení se nejspíš ověřuje nejen klient (nevypršelý certifikát vystavený serveru známou CA, který není na revokačním listu crl.pem), ale také OpenVPN server (prokazuje se certifikatem vystavenym klientu znamou CA, aby jej nemohl nekdo předstírat při únosu IP adresy).

17.10. 21:27 xxl | skóre: 22
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
Certifikáty na obou stranách samozřejmě nemusejí být vystaveny pouze jednou CA. Můžeš mít dvě. CA-Server a CA-Client. Ale pak na obou stranách musíš mít vždy certifikát příslušné CA, která podepsala klíč protistraně. Tj. na klientu musíš mít certifikát CA-Server...
17.10. 21:34 PetebLazar | skóre: 23 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
To dává smysl, zobecnil jsem si chybně default.
Jendа avatar 17.10. 21:38 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
A to k tomu nemáš původní easy-rsa, kterým se to tehdy generovalo? Jako že ti někdo explicitně dal jenom ty klíče, ale ne to easy-rsa okolo?

Bych to zkusil vytvořit od začátku a pak nahradil CA, kterou to vygenerovalo, tou svojí. Nebo bych odtrasoval jak to generuje nový certifikát a z toho to vykoukal.

Jinak zkus easy-rsa verze 1, které je takové mnohem víc shellové myslím.
Již mám serverové certifikáty server.crt a server.key.
To nestačí, potřebuješ ještě minimálně ca.key.
17.10. 22:01 Rycmond | skóre: 10 | Úpice
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
Ahoj, jojo mám všechny soubory , které bily vygenerované. ca.key server.crt server.key ta.key

Mě jde jen o postup.

17.10. 22:16 xxl | skóre: 22
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
Nainstaluj si XCA. Nahraj si do něj všechny existující klíče/certifikáty a podle nich pak v XCA generuj další.
17.10. 22:21 Rycmond | skóre: 10 | Úpice
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
Jj zkusím díky.

Já to zkoušel v EASY-RSA 3 a to se mě nedařilo.
Řešení 1× (bigBRAMBOR)
19.10. 14:25 Host
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
Easyrsa verze 3 používá jinou adresářovou strukturu pro soubory než verze 1, /pki/{issued,private,reqs,..}.

Takže stačí uložit staré certifikáty do příslušných adresářů, .crt do issued, .key do private

a zesynchronizovat soubory index.txt a serial a správně vyplnit vars

19.10. 15:25 bigBRAMBOR | skóre: 34
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
presne takhle jsem to delal a funguje to
19.10. 18:42 Rycmond | skóre: 10 | Úpice
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
Ahoj, jak synchronizuješ soubory index.txt a serial ?
19.10. 18:43 Rycmond | skóre: 10 | Úpice
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
Ahoj, jak synchronizuješ soubory index.txt a serial ?
20.10. 11:41 Host
Rozbalit Rozbalit vše Re: EASY-RSA 3 - již mám Opevpn sít a potřebuji přidat nové klienty.
V tomto konkrétním případě bych použil index.txt a serial z verze 1.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.