誤ってOpenVPN ca.crt
、、ca.key
およびコマンドを削除しましserver.crt
た。サーバー構成(現在は「署名システム」とも呼ばれます)が、クライアントと同様にフォルダの代わりにディレクトリを指しているかどうかわかりません。(これを最初に確認しなかったのは愚かなことだとわかりましたが、今は遅すぎます)server.key
./clean-all
easy-rsa/keys
certificates
何らかの理由で接続されたデバイスは接続されたままです。既存の(以前/現在展開されている)証明書を使用して新しいクライアントを接続することもできます。まだVPNサービスを再起動していないからですね。(クライアントにアクセスできなくなると思いますが、今すぐサービスを再起動するのは難しいです。)
ca.key
新しいserver.crt
とを生成する方法はありますかserver.key
?(または戻ってくることもありますserver.x
)。まだca.crt
利用可能なお客様がいます。
問題を解決できないときにca.key
問題を解決する最良の方法は何ですか?私の考えには私が必要だと思います。
- 新しい
ca.crt
合計を作成ca.key
- 新しいサーバー証明書の生成
- 新しいクライアント証明書の生成
- 新しい(クライアント)証明書をクライアントに配布します(今でもVPNを介して引き続き接続できるため)。
- クライアントはVPNサービスを再起動します(クライアントは新しい証明書を使用します)。
- 新しい証明書が適用されるようにサーバーでVPNサービスを再起動します(クライアントを忘れた場合、これから「紛失」されますか?)
顧客に近づくには数時間運転する必要があるため、顧客を「失わない」ことが重要です!
答え1
CA.crtを復元するソリューションが見つからず、接続がまだ有効であるため、新しい証明書を展開することにしました。テスト環境を設定し、以下に説明するワークフローをテストしました。その後、ライブ接続にもこのワークフローを使用しましたが、正常に動作しました!
- まず、「CAシステム」(CA、サーバー、クライアント証明書)からすべての証明書を生成します。
- すべてのクライアントに証明書を展開し、新しい証明書を使用できるように構成が正しいことを確認します。
- 各クライアントで(個別に)OpenVPNサービスを再起動し、OpenVPNサーバーに「オープン接続」がないことを確認します。
- OpenVPNサーバー証明書を交換し、OpenVPNサーバーでOpenVPNサービスを再起動します。
新しい証明書を交換して設定を確認する前に、サービスを再起動しないでください。すべてのクライアントが新しい証明書を取得し、クライアントのサービスが再起動されるまでOpenVPNサーバーサービスを再起動しないことが重要です。
これで、新しい証明書ですべてのクライアント接続を復元しました。
答え2
時間があれば、余分なRaspberry Piでこれを試してみてください。ただし、これが不可能な場合は、最初にすべきことは、チームビューアなどを使用してクライアントシステムにリモートでアクセスできることを確認することです。これにより、最終的にすべてを破棄して再起動し、リモートでアクセスできます。 。