OpenVPN Zertifikat ändern

[Apfelsaft]

Hallo Leute,

ich bräuchte mal eure Hilfe bei OpenVPN.

Wir verwenden den OpenVPN Server und aus irgendeinem Grund hat sich das Zertifikat verändert und die ganzen Clients können sich nun nicht mehr mit dem Server verbinden. Wenn ich das ca_bundle.crt und das ca.crt von heute mit dem letzten Stand bei den Clients vergleiche weicht das ab.

Wie kann ich nun Server-Seitig zum alten Zertifikat zurück, sodass die Clients wieder eine Verbindung aufbauen können?

Die alten ca_bundle.crt, VPNConfig.ovpn und ca.crt habe ich.

Wenn ein Client gerade versucht sich zu verbinden erscheint als user immer UNDEF. Wenn ich einen Client testweise auf das neue Zertifikat umstelle geht dieser sofort. Ich will natürlich ungern alle 25 Clients ändern...

 

[tproko]

Wahrscheinlich ist das alte cert abgelaufen und wurde erneuert.
Bzw. einmal kam ein Update wo sich hier auch was geändert hat.

Wird wohl daraus hinauslaufen, dass du die clients updatest.

Ich habe für vpn ein länger gültiges cert (selbst signiert) und zusätzlich für jeden User ein eigenes Client Cert, ohne diesem klappt sowieso kein Zugriff.

 

[Apfelsaft]

Ich glaube auch, dass es eher an einem Update liegt. Das Zertifikat hab ich schon ein paar mal upgedated und dabei ist nie was passiert.

Es muss doch einen Weg geben. Das ist sonst echt sch....

Kann ich das Zertifikat auch kurzfristig umgehen, dass ich zumindest an die Clients dran komme?

 

[blurrrr]

Kannst auch einfach den Blödsinn mit dem Zertifikat lassen und einfach ein selbsterstelltes für den Service nutzen, dann haste den Drops auch vom Tisch....

 

[tproko]

Hast du das alte cert weggesichert? Wenn nicht wird das eher schwer.

 

[Apfelsaft]

Kannst auch einfach den Blödsinn mit dem Zertifikat lassen und einfach ein selbsterstelltes für den Service nutzen, dann haste den Drops auch vom Tisch....

Okay und wie mach ich das am besten. Oder kann ich als Eigenes nicht das alte nehmen?
Das alte hab ich weggesichert

 

[blurrrr]

Kannst das eigene alte nehmen, oder Du erstellst einfach ein neues selfsigned

 

[Apfelsaft]

Das ist kein eigenes altes sondern das von Synology erzeugte alte.

Und wohin damit?

 

[blurrrr]

Ich nutz den ganzen Krempel auf der Syno nicht und da Syno immer ganz gern eigenes Zeugs bastelt (oder bereits bestehendes "umbastelt"), kann ich da grade nicht adhoc eine Antwort zu geben. Ich kann Dir aber zumindestens soviel sagen: Sollte in der Zertifikatsverwaltung das Zertifikat dem Dienst nicht zugeordnet werden können, wirst Du Dich wohl auf die Shell schwingen und erstmal nach der OpenVPN-Server-Config schauen müssen. Dort sollten Verweise auf die entsprechenden Zertifikate stehen. Mitunter packste Dir einfach das neue Set an Zertifikaten irgendwohin und passt die Pfade in der Config an, oder überschreibst die vorhandenen (für OpenVPN) genutzten Zertifikate.

Kannst auch mal hier schauen: https://community.synology.com/enu/forum/1/post/135084 / https://www.synology-forum.de/threads/open-vpn-certificate-has-expired.110448/

Im Prinzip läuft es auf die Erneuerung der Zertifikate und einen entsprechenden Reboot hinaus. Vergiss aber nicht, dass Du Clients mit der neuen Config+den neuen Zertifikaten betanken musst, wenn Du den Kram neu machst.