Я заметил, что когда я подключаюсь со своего телефона с помощью OpenVPN, я получаю сообщение о том, что в апреле 2018 года поддержка MD5 будет прекращена.
Может кто-нибудь указать, как обновить мои существующие сертификаты (или создать новые), которые бы:
Обновление easy-rsa, обеспечивающее правильное использование файла .cnf :
cd /path/to/myEasyRsaDir
grep md openssl.cnf
Это должно напечатать что-то вроде
default_md = sha256 # use public key default MD
Переименуйте свои старые keys dir, а затем создайте новые:
my keys oldkeys
mkdir keys
. vars
mv -i oldkeys/*.key keys/
Обновление создания нового корневого CA-сертификата:
openssl x509 -in oldkeys/ca.crt -out keys/ca.crt -signkey keys/ca.key
Обновление сертификата сервера:
Два шага: создание запроса на подпись сертификата (на стороне клиента):
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \
-extensions server -out keys/server.csr
и подписание сертификата с ключом CA:
openssl ca -batch -out keys/server.pem -in keys/server.csr \
-extensions server -config $KEY_CONFIG -keyfile keys/ca.key
тогда вы можете удалить файл .csr
rm keys/server.csr
Затем вы можете обновить каждого клиента, так же, как сервер:
Два шага, первый может быть сделан самим клиентом:
openssl x509 -x509toreq -in oldkeys/server.crt -signkey keys/server.key \
-out keys/server.csr
и из файла .csr : подписать сертификат с ключом CA:
openssl ca -batch -out keys/server.pem -in keys/server.csr \
-config $KEY_CONFIG -keyfile keys/ca.key
rm keys/server.csr