OpenVPN: Clients aus Backup in neuen Server importieren
Diese Anleitung beschreibt, wie man bestehende OpenVPN-Client-Zertifikate aus einem Backup sauber in einen neu installierten OpenVPN-Server übernimmt. Wir gehen davon aus, dass nur der private Key des Clients vorhanden ist und die neue PKI auf dem Server erstellt wurde.
1. Alten Client-Key in eine Certificate Signing Request (CSR) umwandeln
Zuerst erzeugen wir aus dem vorhandenen privaten Key des Clients eine CSR:
openssl req -new \
-key /tmp/backups/openvpn-clients/iphone.key \
-out /tmp/iphone.req \
-subj "/CN=iphone"
-key: Pfad zum alten privaten Key-out: Speicherort der erzeugten CSR-subj: Common Name (CN), sollte dem Client-Namen entsprechen
In das Easy-RSA-Verzeichnis des neuen Servers wechseln
Dan wechseln wir in das Easy-RSA Verzeichnis. Hier werden alle Easy-RSA-Befehle auf der neuen PKI ausgeführt.
cd /etc/openvpn/easy-rsa/
CSR in die neue PKI importieren
./easyrsa import-req /tmp/iphone.req iphone
/tmp/iphone.req: zuvor erzeugte CSRiphone: Name des Clients in der neuen PKI
Client-Zertifikat mit der neuen CA signieren
./easyrsa sign-req client iphone
- Easy-RSA fragt ggf. nach der Passphrase der CA
- Danach ist der Client in der neuen PKI offiziell registriert
Ergebnis
pki/issued/iphone.crt→ neues Client-Zertifikat- Alte private Key (
iphone.key) bleibt unverändert - Nun kann eine
.ovpn-Konfigurationsdatei für den Client erstellt werden, die diesen Key und das neue Zertifikat verwendet.