Ok... Si è fatto tardi (e mannaggia!), ma sono riuscita a scoprire tutti gli arcani della rete privata virtuale della serata. Poi ne è uscito uno bonus strada facendo, in realtà, ma su questo non posso farci niente, solo farmene una ragione e soffrire (e perdere ancora più tempo)... 🥱
Innanzitutto, credo di aver capito perché 'sto cazzo di certificato è scaduto... beh, letteralmente perché la data di scadenza è stata superata, lol; il motivo è che, a quanto mi è parso dal digitare dei comandi, il default di OpenVPN sarebbe di 825 giorni.
A parte che questo è un numero ancor più di merda, che non capisco da dove viene fuori, perché sembra così arbitrario... in effetti, combacia coi calcoli grezzi che ho fatto a mente, quindi pazienza: il server ha semplicemente serverato, non posso lamentarmi di lui. 😩
Ciò di cui devo lamentarmi, invece, è l'Octt di 825 giorni fa, che ha appunto generato un certificato per il server con la durata merdosa predefinita... però, anche qui qualcosa non mi quadra, perché i certificati del client sembra proprio che io li abbia fatti più lunghi all'epoca; sul telefono, oggi mi indicava che il certificato sarebbe scaduto tra 94 mesi. Insomma, non vedo espliciti problemi di skill qui, che è strano conoscendomi... ma è perché sarà stato un errore di distrazione. 😕
Per decidere la durata, infatti, bisogna ricordarsi impostare la variabile d'ambiente EASYRSA_CERT_EXPIRE prima di eseguire i vari comandi di EasyRSA per generare certificati e merdine annesse...
O lo avrò fatto per i client e dimenticato per il server, o forse piuttosto sarà stato il workflow di creazione del Docker di OpenVPN che non mi aveva proprio lasciato il modo di sistemare questa cosa prima di generare le chiavi del server, questi famosi 825 giorni fa... che comunque minchia, paiono una vita a pensarci così. 😳
Eppure, una vita non è, perché io l'ho vista scadere, questa data... E invece, l'ideale sarebbe avere una data di scadenza superiore alla data della mia morte, così non mi dovrò mai più preoccupare del server, e delle robe, e in generale di cose che sono anche fin troppo in più rispetto a ciò che già mi opprime... e quindi, boh, credo che 4-5 anni di durata possano bastare e avanzare, ma per scrupolo ho rifatto il certificato a 10 (export EASYRSA_CERT_EXPIRE=3650).
Non vado oltre, anche se sarebbe figo, perché qualcuno dice che con certificati più lunghi di 10 anni alcune cose si potrebbero spaccare, perché codice strano, e vai a capire... ma suvvia; se tra 10 anni sarò ancora su questa Terra avrò decisamente problemi più grossi della VPN, quindi va bene. 🥴

La cosa strana bonus, però, è stata che non ho potuto semplicemente rinnovare il certificato esistente, perché... non lo so perché, ma nella pratica mi dava errore a decifrare il coso privato, come se avessi inserito la password sbagliata... ma la tengo scritta nel password manager, e quelle per i client lì sono giuste, quindi se non è quella io veramente non ho altra scelta che rigenerare da capo! ☠️
Quindi, così ho fatto, e... la mia paura più grande si è avverata, anche se per questa via più traversa: avendo rifatto chiavi e tutto per il server, queste ora servono nuove anche per i client, altrimenti col piffero che funziona (e ho anche provato, per scaramanzia, ma non c'è versi)...
E quindi, sì: ora viene l'incubo di ripreparare i vari file di configurazione da ripassare come nuovi su tutti i dispositivi che mi servono... ossia, almeno telefono e PC portatile subito, e in più il tablet quando gli spiriti mi diranno di sì (potrebbero essere giorni, o magari mesi, dipende da loro). Che bello!!! 🥶
Comunque, in realtà ricreare l'ambaradan crittografico è stato facile... una volta trovato l'aiutino, da github.com/kylemanna/docker-op…: easyrsa build-server-full <CN del proprio server>, eseguito in questo caso dentro il container Docker e dopo aver impostato quella elusivissima variabile di ambiente.
Invece, per ricreare i client, come specificato sulla stessa repository, stesso concetto ma con questo comando... che mi scrivo qui giusto in caso la sfortunata Octt dei prossimi 3650 giorni dovesse essere ancora viva e costretta a rifare il tutto: easyrsa build-client-full <nome del client>. (Poi si esporta il file con docker exec -it openvpn ovpn_getclient <nome del client> > zzzcherognemammamia.ovpn) 🤷‍♀️
Ah, ovviamente, da tipico tool stronzo della riga di comando di UNIX, questo EasyRSA si comporta a modo suo in situazioni limite; in questo caso, per entrambe le procedure, rifiutandosi di sovrascrivere file già esistenti, quindi questi vanno prima rimossi... e ovviamente meglio spostarli in altre cartelle o rinominarli per backup, ma farli sparire è un bel one-liner: rm /etc/openvpn/pki/{reqs,private,issued}/<nome del server o client>.{req,key,crt}.
Vorrei inoltre ricordare che nessuna di queste parole è nella Bibbia, comunque... (Qualcuno mi salvi dall'entropia amministrativa, per favore.) 😶

ATTENZIONE: A quanto pare, la questione della VPN non è chiusa, e stamattina c'è in più una notizia strabiliante dell'ultimissima ora (o beh, degli ultimi 10 minuti...), e questa davvero non me la spiego...
Il mio PC ha ripreso a collegarsi al server magicamente stamattina, senza che io rigenerassi la roba client per lui!!! 🙀
Allora, cioè, qui si ride e si scherza e va sempre bene, però a questo punto passiamo davvero dalla semplice assurdità tecnica alla stregoneria vera e propria.
Io in realtà non so se ha senso o meno che il client si colleghi senza problemi al server anche se questo ha cambiato le chiavi... magari basta che sia la password a combaciare, ed evidentemente sul server ho rimesso quella che c'era prima (che però a questo punto non capisco perché non mi accettasse in primo luogo nel provare a fare il rinnovo del certificato, e rimannaggia ai troiai!); non lo so e non mi interessa più di tanto. 🙄
La cosa che non mi spiego è questa, tanto semplice quanto boh: perché cazzo sul telefono mi è stato necessario fare l'ambaradan di ricreazione del client — altrimenti non si collegava, dava errore, ho provato più volte — e sul PC invece è tutto OK??? Cioè, al di là di ogni cosa, questo davvero non ha senso!!!
Mah, boh, temo che sarà impossibile sapere... godrò della fatica risparmiata stamattina, e va bene così. 🤐(Però, chissà a questo punto se il mio tablet, per dire, si comporterà così magicamente bene uguale, o mi costringerà a fare la stessa tarantella del telefono...)