Verlopen OpenVPN CA certificaat, wat nu?

Bij het opzetten van een OpenVPN maak je vaak gebruik van een eigen certificaatautoriteit (CA). Bij OpenVPN gebeurt dat vaak met de EasyRSA scripts. Volg je daar de instructies, dan bouw je een CA waarvan het root-certificaat 3650 dagen geldig is, bijna 10 jaar.

Hoewel het in ICT-land niet vaak voorkomt, blijkt een OpenVPN-oplossing vaak ongemerkt jaren lang mee te gaan en zo kan het gebeuren dat op een zeker moment het niet alleen (of juist niet) het certificaat van een openvpn client is verlopen, maar dat van de CA zelf!

In deze posting bekijken we wat er dan gebeurt, en hoe dat op te lossen is. Op zich is het natuurlijk verstandig om een nieuwe CA te maken en voor alle clients nieuwe certificaten te genereren. Dat kan echter logistiek lastig zijn. In plaats daarvan is het ook mogelijk een nieuw CA certificaat te maken, dat het oude vervangt, maar dat ondertekend is met dezelfde private key.
Lees verder