скрипт openvpn-install ошибка certificate has expired, easy-rsa: обновляем сертификаты
https://github.com/angristan/openvpn-install
Set up your own OpenVPN server on Debian, Ubuntu, Fedora, CentOS or Arch Linux.
Перестает подключаться к серверу.
Ошибка в логах openvpn
VERIFY ERROR: depth=0, error=certificate has expired: CN=server_123456, serial=4545456654654542812
2024-04-20 01:38:21 OpenSSL: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Что значит сертификат просрочен.
Подключаемся по ssh к серверу.
Проверка срока действия сертификата по файлу
openssl x509 -enddate -noout -in /etc/openvpn/server_123456.crt
где /etc/openvpn/server_123456.crt – путь до сертификата, убеждаемся, что просрочен
Установлен openssh и easy-rsa
публичный сертификат центра сертификации ca.crt у меня уже есть в директории /etc/openvpn/easy-rsa/pki и crl.pem тоже есть – файл параметров Диффи-Хеллмана
1)
Через easy-rsa создаем запрос на сертификат:
./easyrsa gen-req server_123456 nopass
server_123456 – имя вашего сервера (такой же как в папке /etc/openvpn/ в логах на клиенте, будет написано его имя CN=server_123456 ), nopass означает, что закрытый ключ следует создать без пароля. При выполнении данной команды будет создан запрос на сертификат и сгенерирован закрытый ключ сервера server_123456.key, который будет располагаться в pki/private. Закрытый ключ является секретным и не должен передаваться по открытым каналам связи и доступ к нему также должен быть ограничен.
Keypair and certificate request completed. Your files are:
req: /etc/openvpn/easy-rsa/pki/reqs/server_123456.req
key: /etc/openvpn/easy-rsa/pki/private/server_123456.key
2)
Для выпуска сертификата выполните:
./easyrsa sign-req server server_123456
Опция server обозначает выпуск сертификата для сервера. Подтвержаем – yes
Request subject, to be signed as a server certificate for 825 days:
subject=
commonName = server_123456
Certificate created at: /etc/openvpn/easy-rsa/pki/issued/server_123456.crt
Копируем новые файлики server_123456.crt и server_123456.key в /etc/openvpn
3) Рестарт openvpn команда:
service openvpn restart
4)
на сервере запускаем скрипт
openvpn-install.sh
генерируем новый my.ovpn для клиента, скачиваем его на комп и подключаемся через него