OpenVPN Serverzertifikat erneuen

Tobi

Hallo,

ich habe meine Box auf die Version 2.5 upgedatet und sowhl die CA wie auch fast alle damit erstellte Zertifikate erneuert. "fast", weil das OpenVPN Serverzertifikat lässt sich nicht erneuern.
Wenn ich es versuche kommt nur
"The following input errors were detected:
Error renewing Certificate"

In Logs finde ich irgendwie nichts dazu.

viragomann

@tobi
Stelle einfach ein neues aus mit der passenden CA und weise es dem OpenVPN Server zu.
Das alte kannst du danach auch gleich löschen.

Tobi

@viragomann So habe ich es nun auch getan.

noplan

@viragomann said in OpenVPN Serverzertifikat erneuen:

auch gleich löschen

nicht löschen revoken !
das ist wichtig

viragomann

@noplan
Ein Serverzertikat? Wofür?

Ja, wenn du es vor dir selbst in Sicherheit bringen musst, macht das vielleicht Sinn.

Alle anderen dürfen es gleich löschen.

noplan

@viragomann

moment .. dachte immer egal welche zertifikat es ist es muss immer zuerst revoked werden und nach X time kann es dann gelöscht werden ... muss mal die Herren Techniker fragen wieso die das so handhaben, aber für gewöhnlich gibts immer gute gründe wenn die sowas standardisiert machen ;)

viragomann

@noplan
Mag sein, dass sie einen Grund dafür haben, einen guten kenne ich jedenfalls nicht.
Wofür sollte ich ein Zertifikat, auf das nie jemand anders Zugriff hatte (Private Key), revoken?? Wenn ich das lösche, ist es weg für immer und gut ist 's.

noplan

@viragomann
jop wenn du es so sagst stimmt es

JeGr

@noplan said in OpenVPN Serverzertifikat erneuen:

@viragomann
jop wenn du es so sagst stimmt es

dito. Ein Cert was nur auf der Sense existiert kannst du einfach löschen. Kein Grund da groß CRLs rumzukaspern und ein dann die CRL zu verteilen. Und ohne CRL Prüfung bringt auch der Revoke nichts. Da Clients das ServerCert nicht gespeichert haben und deshalb das eh immer nur gegen ihre CA abgleichen ist es komplett egal.

noplan

@jegr @viragomann

hab heute mal bei den grau Rücken nachgefragt ...

WIESO machen wir das soooooo ? die anderen sagen das ist wertlos ähmmmmm ....

die Antwort:
tja äh hmmm jo ehhhhh hmmm
passt wir schreiben das standard procedure um .... sind Sie jetzt glücklicher für einen Montag?

tja für was das Forum hier alles gut ist ;)

viragomann

@noplan

Hatte eine ähnliche Antwort erwartet.

Es war ja nichts Falsches aber eben unnütz und es verkompliziert das Handling.

noplan

@viragomann

ich kanns ja nachvollziehen, die jungs sind so stolz auf ihre procedures
das die das einfach runterhacken, ohne nachdenken zu müssen und sie wissen
halt einfach wenn sie sich an denablauf halten dann passt es und die quali sicherung ist auch erledig.

tja ...für einen Montag in der Technik ... ggg
haben die bis Ende des Monats gnug von mir