OpenVPN 既存の証明書を MD5 からアップグレードする

OpenVPN 既存の証明書を MD5 からアップグレードする

OpenVPN を使用して携帯電話から接続すると、2018 年 4 月に MD5 のサポートが廃止されるというメッセージが表示されることに気付きました。

既存の証明書を更新する方法(または新しい証明書を作成する方法)を教えてください。

  1. この問題に対処する
  2. 携帯電話から接続できるようにする

Android携帯からのスクリーンショット

答え1

私がやったこと:

  1. アップグレード簡単RSA、ファイルを正しく使用していることを確認します.cnf:

    cd /path/to/myEasyRsaDir
    grep md openssl.cnf
    

    これは次のように印刷されるはずです

    default_md      = sha256                # use public key default MD
    
  2. 古いkeysディレクトリの名前を変更して、新しいディレクトリを作成します。

    my keys oldkeys
    mkdir keys
    . vars
    mv -i oldkeys/*.key keys/
    
  3. 新しいルート CA 証明書の作成を更新しています:

    openssl x509 -in oldkeys/ca.crt -out keys/ca.crt -signkey keys/ca.key
    
  4. サーバー証明書を更新しています:

    2 つのステップ: 証明書署名要求の構築 (クライアント側):

    openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \
        -extensions server -out keys/server.csr
    

    CA キーを使用して証明書に署名します。

    openssl ca -batch -out keys/server.pem  -in keys/server.csr \
       -extensions server -config $KEY_CONFIG -keyfile keys/ca.key
    

    .csrファイルをドロップすると

    rm keys/server.csr
    
  5. 次に、サーバーと同じように各クライアントをアップグレードします。

    2 つのステップがあり、最初のステップはクライアント自身で実行できます。

    openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \
        -out keys/server.csr
    

    そして、.csrファイルから:CAキーを使用した証明書の署名:

    openssl ca -batch -out keys/server.pem  -in keys/server.csr \
       -config $KEY_CONFIG -keyfile keys/ca.key
    
    rm keys/server.csr
    

関連情報