Accidentalmente eliminé mi OpenVPN ca.crt, ca.keyy server.crtcon server.keyel ./clean-allcomando. No sabía que la configuración del servidor (actualmente también la "máquina de firma") apuntaba al easy-rsa/keysdirectorio en lugar de a la certificatescarpeta como lo hacemos en los clientes. (Sé que es estúpido no comprobar esto primero, pero ya es demasiado tarde)
Por alguna razón, los dispositivos ya conectados permanecen conectados. También puedo conectar nuevos clientes con los certificados existentes (antiguos/actualmente implementados).Creo que esto se debe a que todavía no reinicié el servicio VPN, ¿no?(No me atrevo a reiniciar el servicio ahora porque tengo miedo de no poder acceder más a los clientes)
¿Hay alguna manera de obtener mi ca.keypara poder generar un nuevo server.crty server.key?(O tal vez así recuperar server.xtambién la parte de atrás). Todavía lo tengo ca.crtdisponible para los clientes.
Cuando no puedo recuperarme ca.key, ¿cuál es la mejor manera de resolver mi problema?Supongo que necesito
- generar una nueva
ca.crtyca.key - generar un nuevo certificado de servidor
- generar nuevos certificados de cliente
- distribuir los nuevos certificados (de cliente) a los clientes (ya que todavía puedo comunicarme con ellos a través de VPN ahora)
- reinicie el servicio VPN en los clientes (para que usen el nuevo certificado)
- reinicie el servicio VPN en el servidor para que los nuevos certificados se activen (cuando olvidé un cliente, ¿se "pierde" de ahora en adelante?)
¡Es importante que no "pierda" clientes ya que necesito conducir unas horas para tener acceso a algunos de ellos!
Respuesta1
No encontré una solución para recuperar mi CA.crt y decidí implementar nuevos certificados ya que las conexiones todavía están activas. Configuré un entorno de prueba y probé el flujo de trabajo que se describe a continuación. Después de eso, también usé ese flujo de trabajo para las conexiones en vivo y funcionó bien.
- Primero generó todos los certificados en la "Máquina CA" (certificados CA, Servidor y Cliente)
- Implementé los certificados en todos los clientes y me aseguré de que las configuraciones fueran correctas para que usaran los nuevos certificados.
- Reinicie el servicio OpenVPN en cada cliente (individualmente) y asegúrese de que ya no haya "conexiones abiertas" en el servidor OpenVPN.
- Reemplace el certificado del servidor OpenVPN y reinicie el servicio OpenVPN en el servidor OpenVPN
Asegúrese de no reiniciar ningún servicio antes de intercambiar los nuevos certificados y verificar las configuraciones. Es importante que el servicio del servidor OpenVPN no se reinicie antes de que todos los clientes tengan sus nuevos certificados y se reinicien los servicios en los clientes.
Ahora recuperé todas las conexiones de mis clientes con los nuevos certificados.
Respuesta2
Si tengo tiempo, puedo intentar hacer esto en una Raspberry Pi de repuesto y ver. Pero, de no ser así, lo primero que haría es asegurarme de que pueda acceder de forma remota a las computadoras de los clientes, ya sea con Teamviewer o algo así, de esta manera terminará teniendo que borrar todo y comenzar de nuevo, puede acceder a ellas de forma remota. .