Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:sa:openvpn_easy_rsa [2025/06/10 10:11] – niccolo
+++ doc:appunti:linux:sa:openvpn_easy_rsa [2025/06/10 10:42] (current) – [Certificato del server] niccolo
@@ Line 364: / Line 364: @@
 === Rinnovo certificato del server ===
-FIXME
+È opportuno revocare il vecchio certificato prima di generare quello nuovo. Nel file di configurazione OpenVPN del server si può infatti indicare una sola opzione ''cert'', pertanto non è possibile utilizzare contemporaneamente i due certificati a meno di non utilizzare due configurazioni separate.
+<code>
+cd /etc/openvpn/easy-rsa
+./easyrsa revoke server
+./easyrsa gen-crl
+</code>
+La CRL (Certificate Revocation List) va inclusa nella configurazione del server con l'opzione ''crl-verify'' (nel nostro esempio **/etc/openvpn/server-rigacci-org.conf**):
+<file>
+crl-verify /etc/openvpn/easy-rsa/pki/crl.pem
+</file>
+Il file **/etc/openvpn/easy-rsa/pki/index.txt** evidenzia la revoca con la lettera **R** ad inizio riga.
+La generazione del nuovo certificato (con la validità impostata nel file ''/etc/openvpn/easy-rsa/vars'', opzione ''EASYRSA_CERT_EXPIRE'') si effettua con:
+<code>
+cd /etc/openvpn/easy-rsa
+./easyrsa gen-req server nopass
+./easyrsa sign-req server server
+</code>
 ==== Certificati dei client ====