コマンドで、誤って OpenVPN ca.crt、、ca.keyを削除してしまいました。サーバー構成 (現在は「署名マシン」) が、クライアント側で行っているようにフォルダーではなく、ディレクトリを指していることを知りませんでした。(最初にこれを確認しないのは愚かなことだとわかっていますが、今となっては遅すぎます)server.crtserver.key./clean-alleasy-rsa/keyscertificates
何らかの理由で、すでに接続されているデバイスは接続されたままになります。既存の (古い/現在展開されている) 証明書を使用して、新しいクライアントに接続することもできます。これは、VPN サービスをまだ再起動していないためだと思いますが、違いますか?(クライアントにアクセスできなくなるのが怖いので、今はサービスを再起動する勇気はありません)
ca.keyを取得して新しい を生成するserver.crt方法はありますかserver.key?(あるいは、バックも取得するかもしれません)。クライアントで利用可能なので、server.xまだ持っています。ca.crt
背中が動かなくなった場合ca.key、問題を解決する最善の方法は何ですか?たぶんそうする必要がある
- 新しいものを生成し
ca.crt、ca.key - 新しいサーバー証明書を生成する
- 新しいクライアント証明書を生成する
- 新しい(クライアント)証明書をクライアントに配布します(現在、VPN経由でクライアントにアクセスできるため)
- クライアントで VPN サービスを再起動します (新しい証明書を使用するため)
- 新しい証明書がアクティブになるように、サーバー上の VPN サービスを再起動します (クライアントを忘れた場合、今後は「失われる」のでしょうか?)
一部のクライアントに会うには数時間運転する必要があるため、クライアントを「失わない」ことが重要です。
答え1
CA.crt を復元する解決策が見つからず、接続が現在も有効であるため、新しい証明書を展開することにしました。テスト環境をセットアップし、以下に説明するワークフローをテストしました。その後、そのワークフローをライブ接続にも使用し、問題なく動作しました。
- まず、「CA マシン」上のすべての証明書 (CA、サーバー、クライアントの証明書) を生成します。
- すべてのクライアントに証明書を展開し、構成が正しいことを確認して新しい証明書を使用できるようにしました。
- 各クライアントでOpenVPNサービスを(個別に)再起動し、OpenVPNサーバーに「開いている接続」がないことを確認します。
- OpenVPNサーバー証明書を置き換え、OpenVPNサーバー上のOpenVPNサービスを再起動します。
新しい証明書を交換して構成を確認する前に、サービスを再起動しないようにしてください。すべてのクライアントが新しい証明書を取得し、クライアント上のサービスが再起動される前に、OpenVPN サーバー サービスを再起動しないことが重要です。
これで、新しい証明書を使用してすべてのクライアント接続が回復しました。
答え2
時間があれば、余った Raspberry Pi でこれを試してみます。しかし、それができない場合は、まず最初に、TeamViewer などを使用してクライアント コンピューターにリモート接続できることを確認します。こうすることで、すべてを消去して最初からやり直す必要がなくなり、リモート接続できるようになります。