OpenVPN 從 MD5 升級現有證書

OpenVPN 從 MD5 升級現有證書

我注意到,當我使用 OpenVPN 從手機連線時,我收到一則訊息,告訴我 2018 年 4 月將取消對 MD5 的支援。

有人可以指出如何更新我現有的憑證(或建立新的憑證),這將:

  1. 解決這個問題
  2. 允許我透過手機連接

我的 Android 手機的螢幕截圖

答案1

我做了什麼:

  1. 升級中簡易RSA,確保我正確使用.cnf文件:

    cd /path/to/myEasyRsaDir
    grep md openssl.cnf
    

    這必須列印類似的東西

    default_md      = sha256                # use public key default MD
    
  2. 重新命名您的舊keys目錄,然後建立新目錄:

    my keys oldkeys
    mkdir keys
    . vars
    mv -i oldkeys/*.key keys/
    
  3. 更新建立新的根 CA 憑證:

    openssl x509 -in oldkeys/ca.crt -out keys/ca.crt -signkey keys/ca.key
    
  4. 更新伺服器憑證:

    兩個步驟:建置憑證簽署請求(客戶端):

    openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \
        -extensions server -out keys/server.csr
    

    並使用 CA 金鑰簽署憑證:

    openssl ca -batch -out keys/server.pem  -in keys/server.csr \
       -extensions server -config $KEY_CONFIG -keyfile keys/ca.key
    

    然後你可以刪除.csr文件

    rm keys/server.csr
    
  5. 然後你可以升級每個客戶端,與伺服器相同:

    兩個步驟,第一個可以由客戶自己完成:

    openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \
        -out keys/server.csr
    

    並且,從.csr文件:使用 CA 金鑰簽署憑證:

    openssl ca -batch -out keys/server.pem  -in keys/server.csr \
       -config $KEY_CONFIG -keyfile keys/ca.key
    
    rm keys/server.csr
    

相關內容