
Mir ist aufgefallen, dass ich beim Verbinden mit OpenVPN von meinem Telefon aus eine Nachricht erhalte, dass die Unterstützung für MD5 im April 2018 eingestellt wird.
Kann mir bitte jemand sagen, wie ich meine vorhandenen Zertifikate aktualisiere (oder neue erstelle), sodass:
- Beheben Sie dieses Problem
- Erlaube mir, von meinem Telefon aus eine Verbindung herzustellen
Antwort1
Was ich getan habe:
Upgrade durchführeneinfach-rsa, um sicherzustellen, dass ich die Datei richtig verwende
.cnf
:cd /path/to/myEasyRsaDir grep md openssl.cnf
Das Ergebnis muss ungefähr so aussehen:
default_md = sha256 # use public key default MD
Benennen Sie Ihr altes
keys
Verzeichnis um und erstellen Sie dann ein neues:my keys oldkeys mkdir keys . vars mv -i oldkeys/*.key keys/
Aktualisieren und Erstellen eines neuen Stamm-CA-Zertifikats:
openssl x509 -in oldkeys/ca.crt -out keys/ca.crt -signkey keys/ca.key
Serverzertifikat aktualisieren:
Zwei Schritte: Erstellen einer Zertifikatsignieranforderung (Clientseite):
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -extensions server -out keys/server.csr
und Signaturzertifikat mit CA-Schlüssel:
openssl ca -batch -out keys/server.pem -in keys/server.csr \ -extensions server -config $KEY_CONFIG -keyfile keys/ca.key
dann könnten Sie
.csr
die Datei ablegenrm keys/server.csr
Anschließend können Sie alle Clients auf die gleiche Weise aktualisieren wie den Server:
Zwei Schritte, der erste kann vom Client selbst durchgeführt werden:
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \ -out keys/server.csr
und aus der
.csr
Datei: Signaturzertifikat mit CA-Schlüssel:openssl ca -batch -out keys/server.pem -in keys/server.csr \ -config $KEY_CONFIG -keyfile keys/ca.key rm keys/server.csr