blog:2015:01:10:openssl_renouveler_le_ca
Table des matières
Openssl: Renouveler le CA
Update: 2022/09/05: a voir
Expiration
Dans les logs d'un client OpenVPN:
... TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Sur le serveur:
# openssl verify -CAfile ca.crt server.crt error 10 at 1 depth lookup:certificate has expired OK
# openssl x509 -startdate -enddate -noout -in ca.crt notBefore=Dec 10 23:23:50 2004 GMT notAfter=Jan 9 23:23:50 2015 GMT
Ok: j'ai le CA (Certificate Authority) qui a expiré… la loose.
Nouveau certificat
Solution 1
UPDATE: 08/06/2019
Pour un certificat “easyrsa/openvpn
” :
Il suffit de re-signer un nouveau certificat:
# openssl x509 -in ca.crt -days 3650 -out ca_new.crt -signkey ca.key
Et voila:
# openssl verify -CAfile ca-new.crt server.crt server.crt: OK
Solution 2
On va créer un nouveau certificat, mais sans changer la clé privé/public.
# openssl req -new -key ca.key -out ca-new.csr # openssl x509 -req -days 3650 -in ca-new.csr -signkey ca.key -out ca-new.crt
Et c'est bon ?
# openssl verify -CAfile ca-new.crt server.crt server.crt: OK
Il me reste plus qu'a diffuser le nouveau fichier “ca-new.crt
” au serveur et aux clients.
Source: http://serverfault.com/questions/306345/certification-authority-root-certificate-expiry-and-renewal
blog/2015/01/10/openssl_renouveler_le_ca.txt · Dernière modification : 2022/09/04 22:26 de thierry