Openssl: Renouveler le CA

Update: 2022/09/05: a voir

• https://blog.pinterjann.is/ed25519-certificates.html
• https://sandilands.info/sgordon/diffie-hellman-secret-key-exchange-with-openssl

Dans les logs d'un client OpenVPN:

... TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Sur le serveur:

# openssl verify -CAfile ca.crt server.crt
error 10 at 1 depth lookup:certificate has expired
OK

# openssl x509 -startdate -enddate -noout -in ca.crt
notBefore=Dec 10 23:23:50 2004 GMT
notAfter=Jan  9 23:23:50 2015 GMT

Ok: j'ai le CA (Certificate Authority) qui a expiré… la loose.

UPDATE: 08/06/2019

Pour un certificat “easyrsa/openvpn” :

Il suffit de re-signer un nouveau certificat:

# openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key

Et voila:

# openssl verify -CAfile ca-new.crt server.crt
server.crt: OK

On va créer un nouveau certificat, mais sans changer la clé privé/public.

# openssl req -new -key ca.key -out ca-new.csr
# openssl x509 -req -days 3650 -in ca-new.csr -signkey ca.key -out ca-new.crt

Et c'est bon ?

# openssl verify -CAfile ca-new.crt server.crt
server.crt: OK

Il me reste plus qu'a diffuser le nouveau fichier “ca-new.crt” au serveur et aux clients.

Source: http://serverfault.com/questions/306345/certification-authority-root-certificate-expiry-and-renewal