![ca.crt, ca.key를 삭제한 후 복원할 수 있나요?](https://linux55.com/image/170764/ca.crt%2C%20ca.key%EB%A5%BC%20%EC%82%AD%EC%A0%9C%ED%95%9C%20%ED%9B%84%20%EB%B3%B5%EC%9B%90%ED%95%A0%20%EC%88%98%20%EC%9E%88%EB%82%98%EC%9A%94%3F.png)
실수로 OpenVPN ca.crt
, ca.key
, server.crt
및 server.key
명령을 삭제했습니다 ./clean-all
. 서버 구성(현재 "서명 시스템"이라고도 함) 이 클라이언트에서처럼 폴더 easy-rsa/keys
대신 디렉터리를 가리키는지 모르겠습니다 . certificates
(이것을 먼저 확인하지 않은 것이 어리석은 일이라는 것을 알지만 이제는 너무 늦었습니다)
어떤 이유로 연결된 장치가 연결된 상태로 유지됩니다. 또한 기존(이전/현재 배포된) 인증서를 사용하여 새 클라이언트를 연결할 수도 있습니다.아직 VPN 서비스를 다시 시작하지 않았기 때문인 것 같은데요, 그렇죠?(클라이언트에 더 이상 액세스할 수 없게 될까봐 지금 서비스를 다시 시작하기는 어렵습니다.)
ca.key
새로운 server.crt
및 를 생성할 수 있는 방법이 있나요 server.key
?(아니면 돌아올 수도 있습니다 server.x
). 아직 ca.crt
이용 가능한 고객이 있습니다.
문제를 해결할 수 없을 때 ca.key
문제를 해결하는 가장 좋은 방법은 무엇입니까 ?내 생각엔 내가 필요하다고 생각해
- 새로운
ca.crt
합계를 생성ca.key
- 새 서버 인증서 생성
- 새 클라이언트 인증서 생성
- 새 (클라이언트) 인증서를 클라이언트에 배포합니다(지금도 VPN을 통해 계속 연결할 수 있으므로).
- 클라이언트에서 VPN 서비스를 다시 시작합니다(그래서 클라이언트는 새 인증서를 사용합니다).
- 새 인증서가 적용되도록 서버에서 VPN 서비스를 다시 시작합니다(클라이언트를 잊으면 이제부터 "분실"됩니까?)
고객에게 다가가려면 몇 시간씩 운전해야 하기 때문에 고객을 "잃지" 않는 것이 중요합니다!
답변1
CA.crt를 복원하는 솔루션을 찾지 못했고 연결이 여전히 유효하므로 새 인증서를 배포하기로 결정했습니다. 테스트 환경을 설정하고 아래 설명된 워크플로를 테스트했습니다. 그 후 라이브 연결에도 이 워크플로를 사용했는데 제대로 작동했습니다!
- 먼저 "CA 시스템"(CA, 서버 및 클라이언트 인증서)에서 모든 인증서를 생성합니다.
- 모든 클라이언트에 인증서를 배포하고 새 인증서를 사용할 수 있도록 구성이 올바른지 확인합니다.
- 각 클라이언트에서 (개별적으로) OpenVPN 서비스를 다시 시작하고 OpenVPN 서버에 더 이상 "열린 연결"이 없는지 확인하십시오.
- OpenVPN 서버 인증서를 교체하고 OpenVPN 서버에서 OpenVPN 서비스를 다시 시작하세요.
새 인증서를 교환하고 구성을 확인하기 전에 서비스를 다시 시작하지 마십시오. 모든 클라이언트가 새 인증서를 획득하고 클라이언트의 서비스가 다시 시작될 때까지 OpenVPN 서버 서비스를 다시 시작하지 않는 것이 중요합니다.
이제 새 인증서로 모든 클라이언트 연결을 복원했습니다.
답변2
시간이 있으면 여분의 Raspberry Pi에서 이 작업을 시도해보고 확인해 볼 수도 있습니다. 하지만 이것이 불가능할 경우 가장 먼저 해야 할 일은 팀뷰어나 이와 유사한 것을 사용하여 클라이언트 시스템에 원격으로 액세스할 수 있는지 확인하는 것입니다. 그러면 결국 모든 것을 버리고 다시 시작해야 하고 원격으로 액세스할 수 있습니다. .