Ich habe versehentlich mein OpenVPN ca.crt, ca.key, server.crtund server.keymit dem ./clean-allBefehl entfernt. Ich wusste nicht, dass die Serverkonfiguration (derzeit auch die „Signaturmaschine“) auf das easy-rsa/keysVerzeichnis verweist und nicht auf den certificatesOrdner, wie wir es auf den Clients tun. (Ich weiß, es ist dumm, das nicht zuerst zu überprüfen, aber jetzt ist es zu spät)
Aus irgendeinem Grund bleiben die bereits verbundenen Geräte weiterhin verbunden. Ich kann auch neue Clients mit den vorhandenen (alten/aktuell eingesetzten) Zertifikaten verbinden.Ich denke, das liegt daran, dass ich den VPN-Dienst noch nicht neu gestartet habe, oder?(Ich traue mich jetzt nicht, den Dienst neu zu starten, weil ich Angst habe, dass ich nicht mehr auf die Clients zugreifen kann)
Gibt es eine Möglichkeit, meins zu bekommen , damit ich ein neues und ca.keygenerieren kann ?server.crtserver.keyserver.x(Oder vielleicht auch das zurückbekommen .) Ich habe es noch ca.crt, da es auf den Clients verfügbar ist.
Wenn ich meinen ca.keyRücken nicht frei bekomme, was ist der beste Weg, mein Problem zu lösen?Ich glaube, ich muss
- generieren Sie eine neue
ca.crtundca.key - Generieren Sie ein neues Server-Zertifikat
- neue Client-Zertifikate generieren
- Verteilen der neuen (Client-)Zertifikate an die Clients (da ich diese jetzt noch über VPN erreichen kann)
- Starten Sie den VPN-Dienst auf den Clients neu (damit diese das neue Zertifikat verwenden)
- starte den VPN-Dienst auf dem Server neu, damit die neuen Zertifikate aktiv werden (wenn ich einen Client vergesse, ist dieser ab sofort „verloren“?)
Es ist wichtig, dass ich keine Kunden „verliere“, da ich mehrere Stunden fahren muss, um Zugang zu einigen Kunden zu erhalten!
Antwort1
Ich habe keine Lösung gefunden, um mein CA.crt wiederherzustellen und habe mich entschieden, neue Zertifikate bereitzustellen, da die Verbindungen derzeit noch aktiv sind. Ich habe eine Testumgebung eingerichtet und den unten beschriebenen Workflow getestet. Danach habe ich diesen Workflow auch für die Live-Verbindungen verwendet und er hat einwandfrei funktioniert!
- Zuerst werden alle Zertifikate auf der „CA-Maschine“ generiert (CA-, Server- und Client-Zertifikate)
- Die Zertifikate wurden an alle Clients verteilt und sichergestellt, dass die Konfigurationen korrekt waren, damit sie die neuen Zertifikate verwenden können.
- Starten Sie den OpenVPN-Dienst auf jedem Client (einzeln) neu und stellen Sie sicher, dass auf dem OpenVPN-Server keine „offenen Verbindungen“ mehr vorhanden sind
- Ersetzen Sie das OpenVPN-Serverzertifikat und starten Sie den OpenVPN-Dienst auf dem OpenVPN-Server neu
Stellen Sie sicher, dass Sie keinen Dienst neu starten, bevor Sie die neuen Zertifikate ausgetauscht und die Konfigurationen überprüft haben. Es ist wichtig, dass der OpenVPN-Serverdienst nicht neu gestartet wird, bevor alle Clients ihre neuen Zertifikate haben und die Dienste auf den Clients neu gestartet wurden.
Jetzt habe ich alle meine Clientverbindungen mit den neuen Zertifikaten zurückbekommen.
Antwort2
Wenn ich Zeit habe, kann ich das auf einem Ersatz-Rasberry-Pi versuchen und mal sehen. Aber wenn das nicht klappt, würde ich als Erstes sicherstellen, dass Sie sich per Fernzugriff auf die Client-Computer zugreifen können, entweder mit Teamviewer oder so etwas. Auf diese Weise müssen Sie am Ende nicht alles löschen und neu beginnen, sondern können sich per Fernzugriff darauf zugreifen.