Schemat:
Do końca ważności certyfikatu pozostaje 10 dni i chciałbym już wygenerować nowy certyfikat, aby wszyscy userzy mogli mieć zachowaną ciągłość działania. Jak zrobić, aby działał stary cert oraz nowy?
sh crypto pki certificates
Certificate
Status: Available
Certificate Serial Number (hex): 04
Certificate Usage: General Purpose
Issuer:
cn=CiscoCA OU=VPN
Subject:
Name: test.tajmax.local
hostname=test.tajmax.local
cn=CiscoCA OU=VPN_Soft_User
CRL Distribution Point:
nvram:CiscoCA.crl
Validity Date:
start date: 15:58:12 CET May 15 2015
end date: 15:41:22 CET May 17 2015
Associated Trustpoints: EZVPN
Storage: nvram:CiscoCAOUVPN#4.cer
CA Certificate
Status: Available
Certificate Serial Number (hex): 01
Certificate Usage: Signature
Issuer:
cn=CiscoCA OU=VPN
Subject:
cn=CiscoCA OU=VPN
Validity Date:
start date: 15:41:22 CET May 15 2015
end date: 15:41:22 CET May 17 2015
Associated Trustpoints: EZVPN CiscoCA
Storage: nvram:CiscoCAOUVPN#1CA.cer
Możesz podpiąć tylko jeden certyfikat, nie ma możliwości używania 2 jednocześnie na tym samym połączeniu.
Jeżeli odnawiasz "stary" certyfikat i nie zmienia się jego CN to jaki ma sens taka kombinacja ?
Po prostu podmień certyfikaty i po sprawie.
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.
Może i tak, ale po co kombinować jak można to zrobić w prosty i sprawdzony sposób
Domyślam się , ze kolega martwi się , że po podmianie certu klient VPN nie będzie chciał poprawnie autoryzować usera i trzeba będzie wracać do poprzedniej konfiguracji.
Oczywiście jak posiada 2 łącza, można wystawić jedno połączenie na nowym certyfikiacie pod jednym łączem i podobną nazwa np. vpn2.domena.com, a na drugim łączu nadal używać starego certyfikatu do czasu wygaśnięcia. Wszystko zależy od możliwości, chęci i cierpliwości.
https://vpnonline.pl - Twój prywatny VPN - 61 serwery VPN w 29 lokalizacjach na świecie, 470 adresów IP.
Na razie wprowadzanie certyfikatów jest w fazie testów, więc nie ma stresu że certyfikat wygaśnie. Chyba również nie do końca wytłumaczyłem o co mi chodzi dokładnie:
a chodzi mi o to, że certyfikat prywatny i publiczny wygasają w tym samym czasie (np za 10 dni)- mam oko 10 userów którzy łączą się VPN z certami. Czy jest możliwość wygenerowania drugiego certa publicznego i prywatnego na routerze i powoli przepinać userów na te nowe certyfikaty, aby w "0day" nie okazało się, ze wygasły im certy i nie mogą pracować.
Z powyższych postów kolegów wynika, że certyfikat publiczny CA może być tylko jeden? Ale już trustpointów i certyfikatów prywatnych mogę robić wiele?
Czyli jak ustawię lifetime ca-cert na 1100, a lifelite cert na 365 to certyfikat prywatny wygaśnie za rok, ale w tym czasie zrobię sobie inny trustpoint z innym CN wygeneruje nowy certyfikat. Czy to dobra droga?
