OpenVPN 从 MD5 升级现有证书

OpenVPN 从 MD5 升级现有证书

我注意到,当我使用 OpenVPN 从手机连接时,收到一条消息,告诉我 2018 年 4 月将不再支持 MD5。

有人可以指出如何更新我现有的证书(或创建新的证书):

  1. 解决此问题
  2. 允许我通过手机连接

来自我的 Android 手机的屏幕截图

答案1

我做了什么:

  1. 升级easy-rsa,确保我正确使用.cnf文件:

    cd /path/to/myEasyRsaDir
    grep md openssl.cnf
    

    这必须打印类似的内容

    default_md      = sha256                # use public key default MD
    
  2. 重命名旧keys目录,然后创建新目录:

    my keys oldkeys
    mkdir keys
    . vars
    mv -i oldkeys/*.key keys/
    
  3. 更新创建新的根 CA 证书:

    openssl x509 -in oldkeys/ca.crt -out keys/ca.crt -signkey keys/ca.key
    
  4. 更新服务器证书:

    两个步骤:构建证书签名请求(客户端):

    openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \
        -extensions server -out keys/server.csr
    

    并使用 CA 密钥签署证书:

    openssl ca -batch -out keys/server.pem  -in keys/server.csr \
       -extensions server -config $KEY_CONFIG -keyfile keys/ca.key
    

    然后你可以删除.csr文件

    rm keys/server.csr
    
  5. 然后你可以升级每个客户端,与服务器相同:

    两个步骤,第一步可以由客户自己完成:

    openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \
        -out keys/server.csr
    

    并且从.csr文件:使用 CA 密钥签署证书:

    openssl ca -batch -out keys/server.pem  -in keys/server.csr \
       -config $KEY_CONFIG -keyfile keys/ca.key
    
    rm keys/server.csr
    

相关内容