我有一个只有少数客户端在使用的 OpenVPN 服务器,由于 heartbleed 问题,我只是重新创建了服务器证书。
我还从服务器上删除了所有以前的证书文件。我的假设是,由于我重新生成了服务器证书和密钥,以前生成的客户端证书无法再连接到服务器,因为它们的证书没有用我创建的新服务器证书签名。
我对此非常满意,我只是想确保有人无法使用旧证书进行连接。我说得对吗?
更多细节: 我遵循了此处的 OpenVPN 指南,并(希望)通过执行以下操作重建了证书颁发机构:
cd /etc/openvpn/easy-rsa/
source vars
./clean-all
./build-ca
在上述步骤之前,指南说道:
输入以下内容以生成主证书颁发机构 (CA) 证书和密钥:
所以我猜我已经替换了所有内容。我的问题是我没有旧证书,而为了撤销它们,我需要它们!
更多细节: 我获得了以前可以使用的客户端证书和配置,如果我尝试使用它进行连接,我会得到:
Wed Apr 16 17:48:22 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
所以我认为这证明以前的客户端证书不起作用。
答案1
不可以,当 CA 证书/密钥被删除/重新生成时,使用由以前的 CA 证书签名的证书的现有客户端将无法再连接。