OpenVPN: CA key and CA certificate mismatch

А что именно непонятно?

У тебя CA сертификат не соответсвует приватному ключу.
Кто-то подменил (испортил) либо один, либо другой.

Это-то я понимаю. Не понимаю источник, вроде бы некому было такой ерундой заниматься, но не потому я создал тему.

Вопрос: я ведь могу взять ca.crt и ca.key у одного из настроенных клиентов, правильно? Остановить openvpn, забэкапить (на всякий случай) те сертификат и ключ, которые есть сейчас, заменить на другие... Или как это лучше и безопаснее сделать, чтобы не выстрелить себе в ногу?

И еще. Как может сохраниться работоспособность после этой самой подмены /порчи сглаза? Перезагрузки уже были, соединение устанавливается, трафик ходит. Это не критичный вопрос, просто мне бы не помешало понять, как это возможно.

ca.key у одного из настроенных клиентов, правильно?

Это вообще то секретный ключ Certificate Authority, откуда он на клиентах вообще?

Это все равно, что ты дал своим клиентам возможность генерировать сертификаты от твоего имени.

Или как это лучше и безопаснее сделать, чтобы не выстрелить себе в ногу?

Вообще то, все выглядит так, будто ногу вы уже отстрелили.

И еще. Как может сохраниться работоспособность после этой самой подмены /порчи сглаза?

Так ключ нужен только для генерирования сертификатов. Во всех остальных случаях нужен только ca.crt (сертификат), если он selfgenerated.

Так вот дело как раз в том, что я эти ключи у клиентов массово изъял, они у них лежали в папках с openvpn. Теперь они есть только у меня :-) Настраивал мой предшественник, я теперь с этим разбираюсь потихоньку.

Итак, проверять совпадения md5 у ca.key и ca.crt через openssl, и переложить, я правильно понимаю?

Настраивал мой предшественник, я теперь с этим разбираюсь потихоньку.

Му-ха-ха. Знаю одну достаточно значимую организацию, так там тоже раздавали вместе с ключем, о чем я админам и сообщил. Раздают ли сейчас не знаю, но уже на тот момент было достаточно кому выдали, а при учете что раздают в том числе подрядчикам ИТ где знатоков хватает, доставляет отдельно. Прошло пять с половиной лет, ключ до сих пор работает, сейчас ради интереса себе сгенерил.
Похоже этому где-то «специально» обучают :)

По сабжу. Генерите новые. При учете что «у клиентов массово изъял» не вызвало проблем, раздать новые видимо тоже труда не составит.

Понятно. Хорошо, тогда буду генерировать ключи.

Всем спасибо за помощь и потраченное время :-)

Чисто для справки: в OpenVPN в директиву CA можно положить несколько сертификатов, и он будет аутентифицировать и клиентов со старыми ключами, и с новыми.

И сертификат (.crt) можно получить из закрытого ключа (.key), самоподписав его с тем же DN, какой был и у прежнего.

И сертификат (.crt) можно получить из закрытого ключа (.key), самоподписав его с тем же DN, какой был и у прежнего.
.crt
.key

Вот откуда такая вантузятность прет? Нет я серьезно, у меня например никогда не было .crt .key и шо у меня нет сертификатов и ключей?

А как вы их храните? В pkcs12, что ли?

У меня просто нет файлов вида *.crt *.key

А как вы их храните? В pkcs12, что ли?

А почему нет? Юзаю pkcs12 как раз всегда, какие минусы у этого подхода?
А anc видимо имеет ввиду, что расширение у сертификатов-ключей может быть произвольным.

А anc видимо имеет ввиду, что расширение у сертификатов-ключей может быть произвольным.

или отсутствовать. Мой файл, как хочу так и называю.