caramingo
@caramingo

Как безопасно подменить OpenVPN сервер?

Здравствуйте.

Есть рабочий OpenVPN сервер на FreeBSD 11.4 Каждый день им пользуются от 10 до 50 человек, всего пользователей около сотни. Авторизация настроена по логину - паролю. У клиентов к конфиге подключения прописаны сертификаты.

Есть желание перевести сервер на Ubuntu, но совсем не хотелось бы менять конфиги у клиентов. На тестовом сервере настроил все так что могу подключится с тем же конфигом, только указав айпи адрес тестового ВПН сервера.

конфиг у клиентов

client
tls-client
dev tun
proto tcp-client
remote ip_add-server 1194
remote-cert-tls server
nobind
persist-key
persist-tun
auth-user-pass
reneg-sec 0
route-delay 2
verb 3
auth SHA1
cipher AES-256-CBC
auth-nocache

ca
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
/ca

key-direction 1

tls-auth
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
/tls-auth

#tls-auth ta.key 1


Так вот что бы подключиться с тем же конфигом на новом сервере мне пришлось заменить файлы
ca.crt
server.crt
dh.pem
server.key
ta.key
Взяв их с старого сервера

Насколько это нормально, безопасно делать такую подмену? Или все же лучше оставить "родные" сертификаты и поменять конфиги подключения у всех пользователей ?
  • Вопрос задан
  • 234 просмотра
Пригласить эксперта
Ответы на вопрос 3
@res2001
Developer, ex-admin
Абсолютно нормально. Это ваши сертификаты. На старом сервере вы их генерировали самостоятельно (ну или тот кто был вместо вас и настраивал OpenVPN). В самом OpenVPN нет других сретификатов, кроме тех, которые вы ему предоставляете.

В принципе для нового сервера вы могли бы сгенерировать другие сертификаты (файлы server.crt и server.key) их не нужно передавать клиенту. Так было бы совсем правильно (но и использовать ключи старого сервера то же вполне можно). Для генерации вам потребуется закрытый ключ CA (ca.key), если его нет, то сгенерировать новые ключи уже не возможно. И в этом случае вы столкнетесь с проблеммой, когда истекут сроки сертификатов. Вообще во всей инфраструктуре ключей шифрования ключ и сертификат CA - самые ценные составляющие, остальные можно легко менять.
Ответ написан
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Если я чешу в затылке - не беда!
мне пришлось заменить файлы

Ну разумеется. А иначе придется всем рассылать оповещения - чуваки, скачайте новый сертификат сервера и поменяйте у себя.
ta.key не знаю зачем и dh.pem можно было бы и не менять - пусть новый инстанс сгенерит себе новую константу, а вот server.crt и server.key - правильно заменили. ca.crt - это просто файл корневых сертификатов
Ответ написан
Комментировать
@Drno
Просто перенесите старые серт на новый сервер
Потом измените запись DNS
Всё
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы