OpenVPN User Zertifikate erneuern

Apps & App Center
,
#1

Hallo,
beim Aktualisieren der UCS Zertifikate ist mir aufgefallen, dass auch meine OpenVPN Userzertifikate bald ablaufen…
Das UCS Zertifikat checke ich via Monitoring mit dem Script “/usr/lib/nagios/plugins/check_univention_ssl_certificate”… das funktioniert gut, wobei ich mich generell frage warum das nicht automatisch funktioniert… aber das ist ein anderes Thema :wink:

  1. Wenn die OpenVPN Zertifikat ablaufen ist das auch lästig, aber kein Drama wenn ich es mitbekomme… wie könnte man das machen?
  2. Abschließend noch die relevanteste Frage: wie aktualisiere ich das User Zertifikat richtig in OpenVPN4UCS?
    Besten Dank für eure Hilfe!
#2

Bei mir funktionierte es, indem ich einfach die OpenVPN-Ready-to-go-Pakete neu heruntergeladen habe. Die waren Anfang dieses Jahres abgelaufen und nach erneutem Herunterladen hatten sie eine neue Gültigkeitsdauer.

#3

Ah, okay - danke für die Info… ist zwar suboptimal, aber besser als nichts :wink:
Schön wäre ein Button zum Aktualisieren… auch die Gültigkeitsdauer des Zertifikates würde ich gerne generell länger einstellen…

#4

Ich finde es in Ordnung so, es stört mich nicht sonderlich, seit ich festgestellt habe, dass ein erneuter Download der OpenVPN-Ready-to-go-Pakete es ohne große Probleme “tut”.

Eine längere Laufzeit der Zertifikate verbietet sich, da allen voran seit dem Jahr 2020 Apple Zertifikate mit längerer Laufzeit als 13 Monate als “unsicher” einstuft und nicht mehr akzeptiert. Immer mehr Browser- und Softwarehersteller schließen sich dem an bzw. haben dies bereits.
Siehe hierzu auch diese Information:
https://www.digicert.com/de/faq/public-trust-and-certificates/how-long-are-tls-ssl-certificate-validity-periods

Man kann zwar Zertifikate mit 2 Jahren Laufzeit und länger bestellen, erhält aber faktisch während dieser Zeit nach einem Jahr ein neues. - Ist also nichts anderes, als ein zeitlich begrenztes Abo.

#5

Gut zu wissen - danke für die Info. Dann werde ich mein Monitoring erweitern welche die “ausgelieferten” Zertifikate überwacht und mich früh genug warnt, bevor es zeitlich eng wird… ich möchte einfach nicht angerufen werden, dass das VPN nicht mehr “geht”… klar, den Usern sagen wie und wo sie die das Zertifikat erneuern können ginge schon, aber in der Praxis rufen die dann trotzdem an :wink:

#6

Kenne ich zur Genüge, habe selbst lange genug als Admin gearbeitet.

Mastodon