Если я правильно помню, он по отпечаткам должен рулить. То есть subject не смотреть. А если из командной строки ты смотришь отозван ли сертификат и т.д. через команды, что он показывает?

А что есть отпечаток?

Cтатус сертификата отозван,когда публикую crl там указано верное количество отозванных сертификатов. По какому отпечатку?Не совсем понял о чем речь,но думаю это не мало важно.

Я ошибся, он по serial смотрит. Ты, кстати, serial тоже перенёс, чтобы новые у тебя нормальные выдавались?

Вот serial я как раз и не переносил( Взять его со старого сервака?

Да, возьми. Ну и новые сертификаты заново сделай.

Ок,спасибо сейчас попробую

Все сломал

Заменил этот файл,заменил файлы .pem в папке cert_by_serial.
Права на файлы выдал,сервер запускается,работает. Но сертификаты не отзываются совсем,т.е до этого была инфа:сертификат отозван,база обновлена создайте crl
Теперь вот такая ошибка

Note: using Easy-RSA configuration from: /home/admin/EasyRSA-3.0.3/vars

Please confirm you wish to revoke the certificate with the following subject:

subject= countryName = RU stateOrProvinceName = LIP localityName = Lipetsk organizationName = xxx organizationalUnitName = xxx commonName = xxx name = x emailAddress = xxx@xxx.ru

Type the word 'yes' to continue, or any other input to abort. Continue with revocation: yes Using configuration from /home/admin/EasyRSA-3.0.3/openssl-1.0.cnf ERROR:name does not match /C=RU/ST=LIP/L=Lipetsk/O=xxx/OU=xxx/CN=xxx/name=xxx/emailAddress=xxx@xxx.ru

Easy-RSA error:

Failed to revoke certificate: revocation command failed. Логи на максимум,но по этой теме ничего

ERROR:name does not match /C=RU/ST=LIP/L=Lipetsk/O=xxx/OU=xxx/CN=xxx/name=xxx/emailAddress=xxx@xxx.ru

Ну, я думаю, из-за этого. Что-то там не совпадает.

Проверил,все совпадает.При создании нового сертификата наполнение точь-в-точь как старых

Это решилось форматированием файла index в формат unix`a

Ну, по идее, всё текстовое надо в формат юникса переделать. Так проблема то у тебя остаётся или нет?

Да проблема с отзывом так и не решилась.Сертификат числится отозванным,но сессия с него поднимается все продолжает работать

openssl verify что показывает?

Вот с действующего сертификата
Glazkova_PC.crt: OK Вот с отозванного
alex.crt: OK

Ну вот поэтому и работают. А там более verbose режим если включить, то что он будет писать? Он обычно объясняет что и как.

Извини ,торможу.Я не знаю как включается режим verbose.Или имеется ввиду сбор увеличенных логов verb-на максимум до 20?

Ну, для начала:

verify -CAfile <CA_certificate> -CRLfile <CRL_file> -crl_check <checking_certificate>

alex.crt: C = XX, ST = XXX, L = XXX, O = XXX, OU = XXX, CN = XXX, name = alex, emailAddress = XXX@.ru error 23 at 0 depth lookup:certificate revoked

На рабочем сертификате статус - ОК

Спасибо большое тебе за помощь!Но ошибка как оказалось на стороне микротика Вся моя схема выглядит так:
Сервер OpenVPN выдает и подписывает сертификаты,далее идет микротик на котором тоже стоит сертификат сервера (созданнные на centos) клиенты получают сертификаты и подключаются к микротику и идут в сеть.
Отзыв происходит следующим образом:отозвал на сервере,создал crl опубликовал ее на http сервере,микротику рассказал он подтянул инфо.
В моем случае все было видно, на микротике revoked-кол-во отозванных сертификатов(верное)
Но микротик подвел сертификат созданный не на нам не считается доверенным и не проводит проверку по crl.
Теперь буду пытаться разобраться как подписать созданный на нем сертификат моим CA.

А разве не на WinServer было всё создано?

Да и с ним тоже работала такая схема,только сертификаты никто не отзывал,а потом я начал переносить на centos и решили допилить отзыв,а он боком пошел

Ясно. Ну на микротике, наверное, есть его CA, надо свой туда воткнуть. Думаю, так. Но ты пиши, интересно будет посмотреть.

Я запросил тех.поддержку микротика.Они меня огорчили,если СА и сертификат сервера создан не на микротике он будет работать но не является авторитетным т.е. не будет проверять сертификаты на отзыв.Теперь мне либо поднимать это все с 0 на микротике ,либо делать маршрутизацию на centos пробрасывать 1194 и подключакть клиентов напрямую в сервер))) вот хз

Пробрось, наверное. Хорошо, что я от своего микротика избавляюсь. :) А вообще, как он определяет, что он создан на нём? УЦ у него микротиковский что ли? Так можно, по идее, подменить их.

Я пробовал подменить,пока не выходит,на созданных на микротике флаг KLAT а на моих KT,вот так он их сам делит.Если поднимаешь на нем то создаешь свой уц на нем ,он может.Сегодня вдруг отозванные сертификаты перестали работать.Даты верные.Мне микротик нравится,тем более у меня их 34 штуки разных)))

Мне микротик не нравится, но это отвлечение от темы. А по теме - можно создать УЦ на микротике, промежуточный УЦ на центоси, заверить с помощью УЦ на микротике, а дальше как обычно. Хотя, что там будет за вопрос с CLR надо на практике проверить. Вдруг опять такая же ерунда приключится. :)

Сейчас пока отзыв заработал,в микротике изменения црл и сертификатов в обновлении,сейчас буду резервирование бошки делать ,если там (на 2-й)заработает отзыв,пока оставлю.Буду плясать от результата.Я напишу что выйдет

ОК. Интересно чем закончится.

Привет)))

Все получилось, взял новую бошку, настроил с 0. Попробовал отзыв,через crl. Все вышло.Отзыв работает хорошо, даже без использования учетки. Можно тебя вк добавить что-бы можно было обратится? У меня сейчас много интересных вещей которые буду делать,а по linux сильнее тебя, никто не подсказывал.

Я по linux вообще поц. :) А в ВК я по праздникам только захожу, так что там не вариант.

А какие сети ты используешь?)))

Никакие. :)