Zentyal VPN

Ve verzi Zentyal 6.0 přestaly platit certifikáty pro konfigurovaná VPN připojení vždy po 30 dnech. Nakonfigurovaní klienti se nemohli přihlásit. Zkoumáním logu byla nalezena hláška
VERIFY ERROR: depth=0, error=CRL has expired
Změna tohoto chování spočívá ve změně konfiguračních údajů pro generování certifikátů a vygenerování nového certifikátu.

  • zazálohujeme původní konfigurační soubor pro generování certifikátů openssl.cnf
cp /var/lib/zentyal/conf/openssl.cnf var/lib/zentyal/conf/openssl.cnf.bak
  • otevřeme konfigurační soubor openssl.cnf pro úpravy
 nano  /var/lib/zentyal/conf/openssl.cnf 
  • a provedeme požadované změny u následujících údajů
default_day      = 365     # how long to certify for   změníme na 3650
default_crl_days = 30 # how long before next CRL změníme na 3650
default_md = sha256 # which md to use ponecháme
preserve = no # keep passed DN ordering ponecháme
  • přepneme se do složky CA
cd /var/lib/zentyal/CA
  • a vygenerujeme nový certifikát
openssl ca -gencrl -keyfile private/cakey.pem -cert cacert.pem -out crl/crl.pem -config ../conf/openssl.cnf
  • přepneme se do složky /var/lib/zentyal/CA/crl
cd ./crl
  • a přejmenujeme vygenerovaný certifikát crl.pem tak, že na začátek názvu přidáme datum ve tvaru rok-měsíc-den-crl.pem
mv crl.pem 2019-02-05-crl.pem
  • nastavíme vlastníka a skupinu nově vygenerovaného certifikátu na ebox
chown ebox:ebox 2019-02-05-crl.pem
  • a nastavíme mu práva na 0666
chmod 0666 2019-02-05-crl.pem
  • původní symlink přejmenujeme na latest.pem.bak
mv latest.pem latest.pem.bak
  • a vytvoříme nový symlink, ale s úplnou cestou
ln -s /var/lib/zentyal/CA/crl/2019-02-05-crl.pem latest.pem
  • nastavíme vlastníka a skupinu pro vytvořený symlink na ebox
chown -h ebox:ebox latest.pem
  • a práva symlinku nastavíme na 0777
chmod 0777 latest.pem
  • nakonec restartujeme server

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *