OpenVPN на сертификатах easy-rsa. Помогите с инфраструктурой.

certificate revocation list или CRL тебе поможет

Прочитал в инете, что этот лист создаётся и обновляется на easyrsa серваке и .. копируется потом на все openvpn сервера. Это правда?

Всмысле, поймите мою боль:
1) можно ли сделать так, чтобы OpenVPN серверы не имели у себя корневого сертификата, а при необходимости обращались на сервер, где он единственно хранится? Это логично же.

2)Имеется ли в Linux автоматизированное средство (типа как роли сертификационных центров в винде) для проверки сертификатов при обращении? или реально нужно скриптами копировать эти листы на все OpenVPN серваки периодически?

2) Вы движетесь в совершенно верном направлении. Прочитай про ocsp протокол. Единственную реализацию под линукс про которую я знаю это openca ocspd

или реально нужно скриптами копировать эти листы на все OpenVPN серваки периодически?

Существуют системы управления конфигурациями, например, puppet, которые будут копировать их за тебя.

Всмысле, поймите мою боль:
1) можно ли сделать так, чтобы OpenVPN серверы не имели у себя корневого сертификата, а при необходимости обращались на сервер, где он единственно хранится? Это логично же.

Т.е. то что вы раздаете его клиентам это нормально, а вот на сервер положить это «больно»? Не вижу логики.

По второму пункту, можно и самому накостылить, не так уж и сложно. Можно уже готовые системы использовать, вам уже отписали. Не понятно почему только crl беспокоит, новые сертификаты-то для клиентов также копировать нужно.

Ну это понятно. Что свой набор скриптов что чужое по - костыль всё равно.

Да, в первом вопрсое логики нет, я спутал ca.key с ca.crt, отсюда неверный вопрос.

По второму пункту как накостылить - масса способов - apache, smb, вот ещё тут puppet предлагают итд. Яб не хотел костылей.

Как думаете, это - то ?

https://www.openssl.org/docs/manmaster/apps/s_server.html

По второму пункту как накостылить - масса способов - apache, smb, вот ещё тут puppet предлагают итд. Яб не хотел костылей.

Вообще-то самое очевидное в данном случае это ssh rsync, а то вот apache, smb это уже «мощные костыли». Что мешает в скрипт отзыва добавить его раскидывание по серверам, имхо ничего. Более того если прийдется рулить конфигурациями клиентов, это также проще делать через ssh

Как думаете, это - то ?
https://www.openssl.org/docs/manmaster/apps/s_server.html

Ровным счетом ничего не думаю. Я не в курсе умеет ли «пробрасывать» запросы сабж, если узнаете отпишитесь возможно будет полезно многим.

новые сертификаты-то для клиентов также копировать нужно.

А зачем? Клиент во время хэндшейка передает свой сертификат и у него проверяется подпись. Больше ничего и не нужно.

Тут возможно я ТС не до конца понял. Оттолкнулся от своего опыта, когда раздаем ключи админам соответствующих серверов, а они раздают уже клиентам. Я копировал так же как crl-ки.