Eu removi acidentalmente meu OpenVPN ca.crt, ca.keye server.crtcom server.keyo ./clean-allcomando. Eu não sabia que a configuração do servidor (atualmente também a "máquina de assinatura") apontava para o easy-rsa/keysdiretório em vez de para a certificatespasta como fazemos nos clientes. (eu sei que é estúpido não verificar isso primeiro, mas agora é tarde demais)
Por algum motivo, os dispositivos já conectados ainda estão conectados. Também posso conectar novos clientes com os certificados existentes (antigos/implantados atualmente).Acho que é porque ainda não reiniciei o serviço VPN, não é?(Não me atrevo a reiniciar o serviço agora porque estou com medo de não conseguir mais acessar os clientes)
Existe uma maneira de obter o meu ca.keypara que eu possa gerar um novo server.crte server.key?(Ou talvez então pegue as server.xcostas também). Ainda tenho o ca.crtdisponível nos clientes.
Quando não consigo me proteger ca.key, qual é a melhor maneira de resolver meu problema?Suponho que preciso
- gerar um novo
ca.crteca.key - gerar um novo certificado de servidor
- gerar novos certificados de cliente
- distribuir os novos certificados (cliente) aos clientes (pois ainda posso acessá-los via VPN agora)
- reinicie o serviço VPN nos clientes (para que eles usem o novo certificado)
- reinicie o serviço VPN no servidor para que os novos certificados fiquem ativos (quando eu esqueci um cliente, ele está "perdido" de agora em diante?)
É importante não "perder" clientes pois preciso dirigir algumas horas para ter acesso a alguns clientes!
Responder1
Não encontrei uma solução para recuperar meu CA.crt e decidi implantar novos certificados, pois as conexões ainda estão ativas. Configurei um ambiente de teste e testei o fluxo de trabalho descrito abaixo. Depois disso, usei esse fluxo de trabalho também para as conexões ao vivo e funcionou bem!
- Gerei primeiro todos os certificados na "Máquina CA" (certificados CA, Servidor e Cliente)
- Implantei os certificados para todos os clientes e certifiquei-me de que as configurações estavam corretas para que eles usassem os novos certificados
- Reinicie o serviço OpenVPN em cada cliente (individualmente) e certifique-se de que não haja mais “conexões abertas” no servidor OpenVPN
- Substitua o certificado do servidor OpenVPN e reinicie o serviço OpenVPN no servidor OpenVPN
Certifique-se de não reiniciar nenhum serviço antes de trocar os novos certificados e verificar as configurações. É importante que o serviço do servidor OpenVPN não seja reiniciado antes que todos os clientes tenham seus novos certificados e os serviços nos clientes sejam reiniciados.
Agora recuperei todas as conexões do meu cliente com os novos certificados.
Responder2
Se eu tiver tempo, posso tentar fazer isso em um Raspberry Pi sobressalente e ver. Mas, caso contrário, a primeira coisa que eu faria é garantir que você possa acessar remotamente os computadores dos clientes, seja com o teamviewer ou algo parecido, dessa forma você acaba tendo que explodir tudo e começar do zero, você pode acessar remotamente eles .