Openvpn отзыв сертификата

0

1

Как отозвать удаленный сертификат. Т.е. нет фалов client.crt, client.key. При этом client, соединяется по openvpn.
При ./revoke-full client:
Error opening client.crt client.crt
26632:error:02001002:system library:fopen:No such file or directory:bss_file.c:356:fopen('client.crt','r')
26632:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:358:
unable to load certificate
Using configuration from /etc/openvpn/easy-rsa/openssl.cnf
Error opening certificate file client.crt
26635:error:02001002:system library:fopen:No such file or directory:bss_file.c:356:fopen('client.crt','r')
26635:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:358:
unable to load certificate

Ссылка

←	Статистика использования траффика для каждой программы

vsftpd, доступ к нескольким папкам

→

>Как отозвать удаленный сертификат. Т.е. нет фалов client.crt, client.key.

ИМХО - никак

Pinkbyte ★★★★★
(04.07.11 10:36:03 MSK)

Ссылка

Отозвать без файла средствами openssl? Не выйдет. Можно поправить базу: В index.txt находите строку

V<Tab>210503035210Z<Tab><Tab>0A<Tab>unknown<Tab>/C=RU/ST=Province/O=Company Ltd/CN=clientname

И превращаете текстовым редактором ее в примерно такое

R<Tab>210503035245Z<Tab>110510133458Z<Tab>0A<Tab>unknown<Tab>/C=RU/ST=Province/O=Company Ltd/CN=clientname

Третий столбец - дата отзыва сертификата, если память не изменяет.

Можно также запретить клиенту работать => man openvpn про опцию --disable.

Nastishka ★★★★★
(04.07.11 11:46:43 MSK)

Ответ на: комментарий от Nastishka 04.07.11 11:46:43 MSK

спасибо!!! а как можно disable применить на подключенного клиента не перегружая openvpn?

lioncub ★★
(04.07.11 13:22:21 MSK) автор топика

Ответ на: комментарий от lioncub 04.07.11 13:22:21 MSK

Не знаю. Вряд ли - разве что через client ccd

Nastishka ★★★★★
(04.07.11 14:22:40 MSK)

Ссылка

http://openvpn.net/index.php/open-source/documentation/howto.html#revoke

sin_a ★★★★★
(04.07.11 14:25:39 MSK)

Ответ на: комментарий от sin_a 04.07.11 14:25:39 MSK

Смысл правки базы в том, что у ТСа файла с сертификатом нет, чтобы скормить его скрипту :-)

Nastishka ★★★★★
(04.07.11 15:13:13 MSK)

Ответ на: комментарий от Nastishka 04.07.11 15:13:13 MSK

Если я не ошибаюсь, это скрипт для автоматического внесения этих (или других, необходимых) изменений и ему указывается название клиента а не сертификат.

sin_a ★★★★★
(04.07.11 15:43:48 MSK)

Ответ на: комментарий от sin_a 04.07.11 15:43:48 MSK

Посмотрите сами в скрипт. Он вызывает openvpn ca -revoke «$1.crt», исходя из предположения, что cn клиента совпадает с именем файла.

Nastishka ★★★★★
(05.07.11 08:31:36 MSK)

Ссылка

8 сентября 2011 г.

Для начала можно заблокировать его с помощью --disable, а получить сертификат можно от клиента во время его подключения. Сделать это можно с помощью опций --tls-verify и --tls-export-cert. За подробностями - в map openvpn и читать подробнее про эти опции.

l_o_r
(08.09.11 14:44:33 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Статистика использования траффика для каждой программы

Admin

vsftpd, доступ к нескольким папкам

→

Похожие темы