Доброго времени суток. Предыстория такова: десять лет назад мной была поднята инфраструктура сети салонов сотовой связи, распределенная по области. В качестве учетного решения использовалась система 1С: Предприятие 7.7 в режиме распределенной базы данных. Для обмена данными использовалась обычная сетевая папка windows, доступ к которой осуществлялся через туннель OpenVPN. И вот как-то неделю назад полностью остановился обмен информацией между центром и периферией. Почему-то сразу закралась мысль — неужели прошло десять лет (именно на этот срок делался корневой сертификат). Анализ логов подтвердил проблему, схема отлично себя зарекомендовала за эти десять лет, но пришел срок. И что же теперь, генерировать заново весь объем клиентских и серверных ключей/сертификатов??? Нет, можно поступить немного проще…
OpenSSL позволяем перевыпустить сертификат и подписать его старым приватным ключем, при этом сохраняется структура Modulus сертификата и новый сертификат успешно проверяет старые сертификаты клиентов.
Создаем новый сертификат:
Получаем ответ:
и новый сертификат ca-new.crt
Выполним проверку сертификата клиента новым корневым сертификатом:
Все хорошо:
Следующей командой можно посмотреть содержимое сертификата и убедиться что у нового и старого сертификата Modulus одинаков:
Все вроде бы очень хорошо, рассылаем новый сертификат, предварительно переименовав его по образу старого с инструкцией пользователю куда его подложить (перезаписываем старый).
Перезапускаем службу на сервере и смотрим как подключатся клиенты. К сожалению не все клиенты это сделали успешно. У некоторых в логе получили:
Вот здесь пришлось потерять несколько часов, в итоге выяснилось что на клиентских компьютерах также не срабатывает проверка сертификата клиента:
Версия openssl (в составе OpenVPN ) оказалась старая и не хотела успешно проверять.
Соответственно у проблемных клиентов пришлось обновить OpenVPN до версии 2.3.3 (такая использовалась у меня, про другие ничего сказать не могу, но полагаю что более новые версии также будут вести себя положительно) и система отправлена в плавание еще на 10 лет.
OpenSSL позволяем перевыпустить сертификат и подписать его старым приватным ключем, при этом сохраняется структура Modulus сертификата и новый сертификат успешно проверяет старые сертификаты клиентов.
Создаем новый сертификат:
openssl x509 -in ca.crt -days 3650 -out ca-new.crt -signkey ca.keyПолучаем ответ:
Getting Private keyи новый сертификат ca-new.crt
Выполним проверку сертификата клиента новым корневым сертификатом:
openssl verify -CAfile ca-new.crt client9.crtВсе хорошо:
client9.crt: OKСледующей командой можно посмотреть содержимое сертификата и убедиться что у нового и старого сертификата Modulus одинаков:
openssl x509 -noout -text -in ca-new.crtВсе вроде бы очень хорошо, рассылаем новый сертификат, предварительно переименовав его по образу старого с инструкцией пользователю куда его подложить (перезаписываем старый).
Перезапускаем службу на сервере и смотрим как подключатся клиенты. К сожалению не все клиенты это сделали успешно. У некоторых в логе получили:
Tue Mar 21 15:12:18 2017 VERIFY ERROR: depth=1, error=certificate signature failure: /C=RU...Вот здесь пришлось потерять несколько часов, в итоге выяснилось что на клиентских компьютерах также не срабатывает проверка сертификата клиента:
openssl verify -CAfile ca-new.crt client9.crtВерсия openssl (в составе OpenVPN ) оказалась старая и не хотела успешно проверять.
Соответственно у проблемных клиентов пришлось обновить OpenVPN до версии 2.3.3 (такая использовалась у меня, про другие ничего сказать не могу, но полагаю что более новые версии также будут вести себя положительно) и система отправлена в плавание еще на 10 лет.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Поделиться с друзьями
Комментарии (9)
Alghazanth
25.03.2017 13:22> обмен данными через шару сквозь туннель
Но зачем? К чему эта громоздкая инфраструктура? Разве 1С не умеет давным-давно подключать клиентские приложения через HTTPS?
Serge78rus
25.03.2017 13:23А что мешало сразу задать время действия по максимуму, задав -days=9999?
Кстати, в Вашем примере в статье
Создаем новый сертификат:
openssl x509 -in ca.crt -days 36500 -out ca-new.crt -signkey ca.key
Вы ошиблись с лишним ноликом, прося сертификат аж на 100 лет.sergling
25.03.2017 13:28Спасибо. Поправил, заказывал действительно на 10 лет. На счет первоначального срока — во первых не ожидал что вообще эта инфраструктура столько проживет, во вторых пользовался типовым скриптом build-ca.
AlexeevEugene
Ого! Надо запустить голосовалку: «Вы знали, что так можно?» ))