我有一个OpenVPN服务器,只有less数客户正在使用,由于heartbleed问题,我只是重新创build服务器证书。
我也从服务器上删除了所有以前的证书文件。 我的假设是因为我已经重新生成服务器证书和密钥,以前生成的客户端证书不能再连接到服务器,因为他们的证书没有用我创build的新服务器证书签名。
我对此非常满意,我只是想确保有人不能使用旧证书进行连接。 我对吗?
更多细节:我已经遵循了OpenVPN指南,并希望重build证书颁发机构,方法是:
cd /etc/openvpn/easy-rsa/ source vars ./clean-all ./build-ca 在上述步骤之前,指南说:
input以下内容以生成主证书颁发机构(CA)证书和密钥:
所以我的猜测是我已经取代了一切。 我的问题是我没有旧的证书,为了撤销他们,我需要他们!
更多的细节:我已经掌握了以前工作的客户端证书和configuration,如果我尝试连接使用,我得到:
Wed Apr 16 17:48:22 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
所以我认为这certificate以前的客户端证书不起作用。
不,当CA证书/密钥被移除/重新生成时,使用先前CA证书签发的证书的预先存在的客户端将不再能够连接。