2018-05-23

免费的加速器ins

OpenVPN 管理员请注意！我们知道，出于安全或其他相关原因，有时有必要更换 OpenVPN 安装的证书颁发机构（CA）。对于小型安装，如果所有客户端和服务器都能在很短的时间内更新，停机时间也不是问题，那么就有一个简单的解决方案：每个客户端和服务器都会收到新的密钥和证书。

但是，如果您需要在不停机的情况下进行安装，该怎么办？也许您身处不同的时区，或者使用数百台不同的设备，而这些设备甚至可能无法随时在线。现在情况不同了。

请阅读下文，了解如何用以下方法完全替换 VPN 网络使用的 CA零停机时间。

所有客户端和服务器证书都已在旧 CA 中签名。

CA 和所有证书都应更换为新证书。除了短暂的服务器重启外，应防止出现宕机。

不可能同时更新所有客户端。 VPN 服务器需要在迁移期间同时支持新旧客户端证书。

第一步，将新 CA 的根证书添加到 OpenVPN 服务器的 CA 文件（堆叠证书）中。

客户端连续更新。每个客户端都会获得新的客户端证书、新的私钥以及新 CA 的根证书。

由于服务器的 CA 文件中已包含新 CA 的根证书和旧证书，因此服务器可以同时验证新旧客户端证书。

在继续下一步之前，需要更新所有客户。

一旦所有客户端都进行了相应更新，服务器证书就会被由新 CA 签发的新证书取代。

客户可以使用之前收到的新 CA 的根证书来验证新服务器证书。

最后，应从服务器和所有客户端删除旧 CA 证书。

遗憾的是，这需要对所有 VPN 客户端进行进一步更新。

这种迁移过程有两大缺点：

幸运的是，我们找到了一种新方法，它没有上述任何缺点。

第一步，将新 CA 的根证书添加到 OpenVPN 服务器的 CA 文件（堆叠证书）中。

服务器证书也会被新 CA 签名的证书取代。此外，一个使用新 CA 私钥但由旧 CA 签名的中间证书（OLD-NEW-IM.crt）也会被添加到服务器证书文件中。

因此，服务器证书文件将包括实际的新服务器证书和中间证书。 VPN 服务器将向每个连接的客户端返回这两份证书。

这样，只支持旧 CA 根证书的客户端就能验证中间证书，而中间证书又能验证新服务器证书。

重要：签署新服务器证书时，'authorityKeyIdentifier'部分必须只包含 keyid，而不包含签发者。这是防止出现新旧 CA's 主题不同问题的必要条件。

此外，中间证书的过期日期应设置为迁移的截止日期。一旦过期，仅持有旧 CA 证书的客户端将无法连接。

客户端连续更新。每个客户端都会获得新的客户端证书、新的私钥以及新 CA 的根证书。

旧 CA 的根证书会立即从更新的客户端中删除。

使用新的根证书，更新后的客户端无需使用中间证书就能验证新的服务器证书。

由于服务器的 CA 文件中已包含新 CA 的根证书和旧证书，因此服务器可以同时验证新旧客户端证书。

在继续下一步之前，需要更新所有客户。

最后，应从服务器上删除旧 CA 证书和中间证书。

这种迁移过程有三个优点：

可以在第一步部署新的服务器证书。如果某些 VPN 客户端软件需要旧 CA 无法满足的特定 CA 属性，这一点尤其有用。通过这种迁移路径，可以立即支持新软件，而无需等待所有旧客户端首先得到更新。
每个 VPN 客户端只需更新一次。
可以通过调整中间证书的到期日来设定迁移的最后期限。在最坏的情况下，仍然可以创建新的中间证书。

希望这篇博文对我们的合作伙伴和客户有所帮助！

最好的、

HEXOnerd 负责人兼 HEXONET 首席执行官 Jens Wagner

如需了解 Jens Wagner 和管理团队其他成员提供的有关域名、网络安全、技术等方面的更多技巧和窍门，请访问网站hexonet.net或关注我们的博客。

延斯-瓦格纳