Moin,

habe vor ca. 1 Monat ein openvpn wie im c`t heft9 beschrieben konfiguriert. Es hat auch wunderbar funktioniert. Jetzt kann ich mich nicht mehr verbinden, da die Schlüssel abgelaufen ist. Weiss da jemand, wo man das abstellen kann, dass die Schlüssel nicht mehr abläuft? Ich möchte nicht jeden Monat eine neue Schlüssel erstellen. ;)

Hi,

Du kannst die Gültigkeit der Schlüssel beim Signieren vergeben.

Als erstes solltest du den öffentlich en Schlüssel der CA auf 10 Jahre setzen und anschliessend die Zertifikate mit einer lebensdauer von 1 Jahr versehen. Der Artikel beschreibt den Werdegang eigentlich sehr gut.

openssl req -new -x509 -days 3650 -key private/privatekey.pem -out /ordner/öffentlicherschlüssel.pem

Damit hast du den öffentl. Schlüssel der CA auf 10 Jahre erhöht oder erstellt.

Bei der Erstellung der Zertifikate muß die option -days 365 am Ende hinzugefügt werden

probier mal

Hallo Zerwas,

ich habe genau so gemacht wie es im Heft steht. Und ich kann den Tippfehler ausschliessen, da ich mit den befehl "history" nachschauen konnte, wie ich damals wirklich konfiguriert habe.



268 cd /etc/openssl/
269 openssl genrsa -aes256 -out private/my-cakey.pem 2048
270 openssl req -new -x509 -days 3650 -key private/my-cakey.pem -out my-ca.pem -set_serial 1
275 vi /usr/local/ssl/openssl.cnf
276 openssl req -new -newkey rsa:1024 -out certs/servercsr.pem -nodes -keyout private/serverkey.pem -days 365
277 openssl x509 -req in certs/servercsr.pem -out certs/servercert.pem -CA my-ca.pem -CAkey private/my-cakey.pem -CAserial /etc/openssl/serial
278 openssl x509 -req -in certs/servercsr.pem -out certs/servercert.pem -CA my-ca.pem -CAkey private/my-cakey.pem -CAserial /etc/openssl/serial
279 openssl req -new -newkey rsa:1024 -out certs/flycsr.pem -nodes -keyout private/flykey.pem -days 365
280 openssl x509 -req -in certs/flycsr.pem -out certs/flycert.pem -CA my-ca.pem -CAkey private/my-cakey.pem -CAserial /etc/openssl/serial
281 openssl req -new -newkey rsa:1024 -out certs/danielcsr.pem -nodes -keyout private/danielkey.pem -days 365
282 openssl x509 -req -in certs/danielcsr.pem -out certs/danielcert.pem -CA my-ca.pem -CAkey private/my-cakey.pem -CAserial /etc/openssl/serial
283 openssl req -new -newkey rsa:1024 -out certs/chefcsr.pem -nodes -keyout private/chefkey.pem -days 365
284 openssl x509 -req -in certs/chefcsr.pem -out certs/chefcert.pem -CA my-ca.pem -CAkey private/my-cakey.pem -CAserial /etc/openssl/serial
291 openssl dhparam -out dh1024.pem 1024


Wie würdest du vorgehen, wenn der Schlüssel abläuft? Ich habe eigentlich von vorne nochmal alle Schlüssel neu erstellt, war ein wenig aufwendig :rolleyes:


Naja, ich seh in ca. 1 Monat, ob der Schlüssel wieder abläuft, dann poste ich hier weiter :D

schaue dir das Zertifikat flycert mal an

openssl x509 -in flycert.pem -noout -text

Dort findest du die einträge wann das Zertifikat gültig ist und wann es abläuft.
Dann siehst du die komplette Gültigkeitsdauer.

1 Monat zu warten ist unnötig ;-)

Mal eine generelle Empfehlung für allen die sich für das Thema Zertifikate, PKI und alles rundherum interessieren:

Das Buch "PKI - e-security implementieren" von RSA Press bekommt man bei terrashop bereits für 7,95 € plus Versand. Das Buch ist sehr gut geschrieben und behandelt alles rund ums Thema: http://www.terrashop.de/ITP0781/artikel.php

mfg
cane

schaue dir das Zertifikat flycert mal an

openssl x509 -in flycert.pem -noout -text

Dort findest du die einträge wann das Zertifikat gültig ist und wann es abläuft.
Dann siehst du die komplette Gültigkeitsdauer.

1 Monat zu warten ist unnötig ;-)

Danke für den Tipp! Ich habe erst nachgesehen und ich sehe nichts, wann es abläuft:


Validity
Not Before: Jun 2 11:37:12 2005 GMT
Not After : Jul 2 11:37:12 2005 GMT

Ist das ungewöhnlich :confused:

Mal eine generelle Empfehlung für allen die sich für das Thema Zertifikate, PKI und alles rundherum interessieren:

Das Buch "PKI - e-security implementieren" von RSA Press bekommt man bei terrashop bereits für 7,95 € plus Versand. Das Buch ist sehr gut geschrieben und behandelt alles rund ums Thema: http://www.terrashop.de/ITP0781/artikel.php

mfg
cane

Hallo Cane,

du hast recht ich besitze auch ein Buch von Ralf Spennberg (VPN mit LINUX) leider habe ich im Moment kaum Zeit es zu lesen :rolleyes:

ich besitze auch ein Buch von Ralf Spennberg (VPN mit LINUX)

Auch ein nettes Buch, hab ich auch hier. Ist allerdings fast komplett auf IPSEC unter Linux bezogen und geht eher weniger auf Zertifikate und PKI ein...

mfg
cane