Как безопасно подменить OpenVPN сервер?

Question

[Dmitriy Loginov]

Здравствуйте.

Есть рабочий OpenVPN сервер на FreeBSD 11.4 Каждый день им пользуются от 10 до 50 человек, всего пользователей около сотни. Авторизация настроена по логину - паролю. У клиентов к конфиге подключения прописаны сертификаты.

Есть желание перевести сервер на Ubuntu, но совсем не хотелось бы менять конфиги у клиентов. На тестовом сервере настроил все так что могу подключится с тем же конфигом, только указав айпи адрес тестового ВПН сервера.

конфиг у клиентов

client
tls-client
dev tun
proto tcp-client
remote ip_add-server 1194
remote-cert-tls server
nobind
persist-key
persist-tun
auth-user-pass
reneg-sec 0
route-delay 2
verb 3
auth SHA1
cipher AES-256-CBC
auth-nocache

ca
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
/ca

key-direction 1

tls-auth
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
/tls-auth

#tls-auth ta.key 1

Так вот что бы подключиться с тем же конфигом на новом сервере мне пришлось заменить файлы
ca.crt
server.crt
dh.pem
server.key
ta.key
Взяв их с старого сервера

Насколько это нормально, безопасно делать такую подмену? Или все же лучше оставить "родные" сертификаты и поменять конфиги подключения у всех пользователей ?

Comments

[ky0]

Для ещё более незаметного переноса в следующий раз рекомендую использовать в конфигах не айпишник сервера, а DNS-имя - тогда можно будет переносить хоть к чёрту на рога, просто поменяв А-запись.

[Dmitriy Loginov]

ky0, В конфиге у клиентов как раз прописано ДНС имя. Я наверно просто подменю сервер, когда в праздники им будет меньше всего пользоваться.
Спасибо.

Answer 1

[res2001]

Абсолютно нормально. Это ваши сертификаты. На старом сервере вы их генерировали самостоятельно (ну или тот кто был вместо вас и настраивал OpenVPN). В самом OpenVPN нет других сретификатов, кроме тех, которые вы ему предоставляете.

В принципе для нового сервера вы могли бы сгенерировать другие сертификаты (файлы server.crt и server.key) их не нужно передавать клиенту. Так было бы совсем правильно (но и использовать ключи старого сервера то же вполне можно). Для генерации вам потребуется закрытый ключ CA (ca.key), если его нет, то сгенерировать новые ключи уже не возможно. И в этом случае вы столкнетесь с проблеммой, когда истекут сроки сертификатов. Вообще во всей инфраструктуре ключей шифрования ключ и сертификат CA - самые ценные составляющие, остальные можно легко менять.

Comments

[Dmitriy Loginov]

Я пробовал оставить "родные" ключи server.crt и server.key, но клиентом при этом не мог подключиться, видел ошибки TLS соединения, во время подключения.

[res2001]

Dmitriy Loginov, Нет никаких родных ключей. Могут быть какие-то "демонстрационные", но их не нужно использовать.
Не могут подключиться, потому что у "родных" ключей и у ваших разные ключи центра сертификации (ca.key, ca.crt). Именно эти ключи объединяют все другие ключи между собой. И правильность ключей клиента и сервера проверяется с помощью ключей CA.
Именно поэтому к вашему серверу не может подключиться кто угодно просто сгенерировав у себя любые ключи - у него нет ваших ключей CA. Для генерации новых ключей, требуется приватный ключ CA (ca.key) и его надо держать в секрете, если не хотите, что бы вас сломали в один прекрасный день.
Сам по себе ключ ca.key используется только при генерации других сертификатов. Этот ключ не нужен на работающем OpenVPN сервере и клиентах. В остальных случаях используется его публичный сертификат ca.crt, который как раз можно распространять на право и на лево.

Вам надо что-то почитать про инфраструктуру открытых ключей (PKI) и X.509.

Answer 2

[CityCat4]

мне пришлось заменить файлы

Ну разумеется. А иначе придется всем рассылать оповещения - чуваки, скачайте новый сертификат сервера и поменяйте у себя.
ta.key не знаю зачем и dh.pem можно было бы и не менять - пусть новый инстанс сгенерит себе новую константу, а вот server.crt и server.key - правильно заменили. ca.crt - это просто файл корневых сертификатов

Answer 3

[Drno]

Просто перенесите старые серт на новый сервер
Потом измените запись DNS
Всё