Сертификаты



  • Люди добрые, помогите чайнику! Кончился CA сертификат… Как его обновить/продлить/создать новый? Что делать?



  • CA, как вариант, я бы создавал на 10 лет (3650 дней).

    Если в Вашем случае это не особо проблематично - создайте новый и подпишите им Ваши пользовательские и серверные сертификаты. Только OpenVPN на это время отключите.

    https://doc.pfsense.org/index.php/Certificate_Management
    https://forum.pfsense.org/index.php?topic=38692.msg200040#msg200040



  • Там кстати не только СА кончились… Там все покончалось... Мой предшественник их на 2 года создавал(((



  • Пересоздавайте. Ссылки - выше. Дел на 5 мин.



  • Кстати не фига не на 5 минут! Получается что мне нужно создать сертификат самого шлюза, потом сертификат VPN, а потом долго и упорно создавать сертификаты еще для каждого юзера и выгружать для них клиентский установочник… Или я что то не правильно понял?



  • мне нужно создать сертификат самого шлюза

    Ваш бывший коллега и его заменил на собственный ?

    Сколько у вас пользователей, использующих сертификаты ? Сотня, тысяча ?

    P.s. За то время , что вы здесь пишите - уже давно бы все помяняли  :-\



  • Да, он и его поменял… Короче с сертификатами вроде разобрался... ТОлько теперь проблема в другом: пришлось перенастраивать Опен ВПН и получился косяк. В офисе сеть 192.168.250.0, по впн все подрубаются в 192.168.251.0... Как сделать чтоб ВПН в ту же сетку рубился, или что бы подсети подружились между собой?



  • @FUCKir:

    Да, он и его поменял… Короче с сертификатами вроде разобрался... ТОлько теперь проблема в другом: пришлось перенастраивать Опен ВПН и получился косяк. В офисе сеть 192.168.250.0, по впн все подрубаются в 192.168.251.0... Как сделать чтоб ВПН в ту же сетку рубился, или что бы подсети подружились между собой?

    Вы кроме сетификатов еще что-то меняли? Рисуйте схему сети.



  • Ситуация такая: играясь с сертификатами я случайно вообще убил весь ОпенВПН, в итоге я грохнул сервер ОпенВПН и сделал его по новой, вроде с теми же настройками. Потом начал создавать пользовательские сертификаты и они начали появляться на вкладке vpn-openvpn-client export (там еще у каждого пользователя есть кнопочки чтоб скачать клиент ОпенВПН уже сконфигурированный под конкретного пользователя).

    Схема сети простая: есть офис, в нем шлюз на сенсе. Офисная сетка 192.168.250.0. На шлюзе есть некоторое кол-во поднятых тунелей до таких же шлюзов на сенсе (они подняты, все в порядке с ними), ну и остальные подняты службы а-ля ДХЦП. Есть некоторая кучка пользователей, которые работают из дома на сервере в офисе и им нужно на него как то попадать. Раньше, пока не кончились сертификаты все работало отлично, потом я полез с ними разбираться, в итоге сертификаты теперь работают, а ВПН- нет. Пользователь при подключении к ВПН получает адреса и подсети 192.168.251.0. Мои танцы с бубнами довели все до чего: впн "типа" поднимается, видно это с обоих сторон, но после создания нового сервака из офиса полученый адрес клиентом 192.168.251.6 пингуется, а из дома офисные адреса пинговаться не хотят. После перезагрузки службы ОпенВПН на сенсе перестал пинговаться адрес и из офиса… У меня паника, уже не знаю куда лезть... Эта сетка мне досталась по наследству и я хз какое правило и какая роль за что отвечает... А подписывать в описании моего предшественника не учили... Вся надежда на помощь тут!

    Кстати! По адресу 192.168.251.1 из дома сотрудника открывается офисный веб интерфейс шлюза с пометкой что типа не безопасно заходить в него из другой подсети...



  • Ситуация такая: играясь с сертификатами я случайно вообще убил весь ОпенВПН, в итоге я грохнул сервер ОпенВПН и сделал его по новой, вроде с теми же настройками.

    Перед каждым серъезным изменением делайте backup конфига! Экономит часы (иногда - даже дни) работы.

    P.s. Прочтите свои ЛС.



  • Да бэкапы то есть… Только сть в том чтоб поднять опен впн...


Log in to reply