Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:openvpn [2018/01/01 07:26] – [Rinnovo del certificato del server] niccolo
+++ doc:appunti:linux:sa:openvpn [2018/01/01 07:30] – [Rinnovo del certificato del server] niccolo
@@ Line 277: / Line 277: @@
 ===== Rinnovo del certificato del server =====
-Quando **scade il certificato del server** smettono di funzionare **TUTTE le VPN**. Per fortuna è sufficiente rinnovare tale certificato e **non è necessario distribuirlo** su tutti i client. La procedura che seque genera una nuova chiave e un nuovo certificato firmato dalla stessa CA locale.
+Quando **scade il certificato del server smettono di funzionare TUTTE le VPN**. Per fortuna è sufficiente rinnovare tale certificato e **non è necessario distribuirlo** su tutti i client. La procedura che segue genera una nuova chiave e un nuovo certificato firmato dalla stessa CA locale.
 Il discorso è diverso quando **scade il certificato della CA** locale, in questo caso per ripristinare il funzionamento delle VPN senza distribuire il nuovo CA cert è necessario utilizzare un trucco: generare un nuovo CA cert, ma riutilizzando la vecchia chiave . La soluzione (da verificare) è descritta nel post [[ https://serverfault.com/questions/306345/certification-authority-root-certificate-expiry-and-renewal|Certification authority root certificate expiry and renewal]]. Altri dettagli si trovano nel post [[https://forums.openvpn.net/viewtopic.php?t=18671|Expired CA - clients can't connect]].
-La seguente ricetta è stata verificata su Debian 8 Jessie. **ATTENZIONE** ai nomi dei file, che sono **diversi rispetto agli esempi riportati sopra**; tutto è stato eseguito nella directory **/etc/openvpn/ssl/**. [[https://it.wiktionary.org/wiki/YMMV|YMMV]]!
+**ATTENZIONE** ai nomi dei file, che sono **diversi rispetto agli esempi riportati sopra**; tutto è stato eseguito nella directory **/etc/openvpn/ssl/**. La seguente ricetta è stata verificata su Debian 8 Jessie. [[https://it.wiktionary.org/wiki/YMMV|YMMV]]!
 Anzitutto si deve **revocare il vecchio certificato**, altrimenti al momento della firma del nuovo si ottiene l'errore:
@@ Line 290: / Line 290: @@
 </code>
-infatti il nuovo certificato avrà lo stesso nome del vecchio. Dopo aver revocato un certificato si deve sempre rigenerare la lista dei certificati revocati CRL. **ATTENZIONE** a individuare il corretto certificato! Nel nostro esempio è **00.pem**, ma si deve verificare il file **index.txt** e i file nella directory **newcerts/**:
+infatti il nuovo certificato avrà lo stesso nome del vecchio. Dopo aver revocato un certificato si deve sempre rigenerare la CRL lista dei certificati revocati. **ATTENZIONE** a individuare il corretto certificato! Nel nostro esempio è **00.pem**, ma si deve verificare il file **index.txt** e i file nella directory **newcerts/**:
 <code>
@@ Line 300: / Line 300: @@
     -cert vpn.rigacci.org_cacert.pem -out vpn.rigacci.org_crl.pem
 </code>
+Alla richiesta di **A challenge password** e **An optional company name** si è lasciata una risposta vuota.
 Il vecchio certificato può essere salvato o rimosso: