LINUX.ORG.RU

Несколько crl отзывов сертификата Strongswan

 


0

1

Коллеги всех приветствую, подскажите как правильнее создавать отзывы на сертификаты (crls файлы) для Strongswan?

Если например сгенерировать несколько сертификатов командой

ipsec pki –signcrl –cacert /etc/ipsec.d/cacerts/ca.pem –cakey /etc/ipsec.d/private/ca.pem –lifetime 1 –reason key-compromise –cert /etc/ipsec.d/certs/1.pem > /etc/ipsec.d/crls/1.crl

ipsec pki –signcrl –cacert /etc/ipsec.d/cacerts/ca.pem –cakey /etc/ipsec.d/private/ca.pem –lifetime 1 –reason key-compromise –cert /etc/ipsec.d/certs/2.pem > /etc/ipsec.d/crls/2.crl

то первый из них работает, а второй нет.

Для примера на двух разных клиентах пробовал, стоит удалить первый, начинает работать второй.

Что я не так делаю? или чтото нужно в конфиге поправить?

config setup

uniqueids=keep

charondebug=ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2, mgr 2

strictcrlpolicy=yes

cachecrls=yes

conn %default

type=tunnel

keyexchange=ikev2

ike=aes256-sha256-modp2048,aes128gcm16-sha2_256-prfsha256-ecp256!

esp=aes128gcm16-sha2_256-ecp256!

fragmentation=yes

forceencaps=yes

rekey=no

compress=no

dpdaction=clear

left=%any

leftauth=pubkey

leftsourceip=X.X.X.X

leftid=X.X.X.X

leftcert=server-key.pem

leftsendcert=always

leftsubnet=0.0.0.0/0

right=%any

rightauth=pubkey

rightsendcert=never

rightsourceip=10.101.0.0/16

rightdns=1.1.1.1,1.0.0.1

dpdaction=clear

dpddelay=900s

conn ikev2-pubkey

auto=add



Последнее исправление: djserg-minyar (всего исправлений: 6)

Надо или старый список дополнять, или создавать дельту. А ты создаешь второй отдельный список, а в нем, небось, пишется серийный номер, причем такой же, как у первого.

Что я не так делаю?

Документацию не читаешь. Логи не читаешь.
https://docs.strongswan.org/docs/5.9/pki/pkiSignCrl.html
Последние две строчки. Или про delta crl глянь.

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Ну да, мне нужно чтобы для каждого сертификата был свой crl файл. Такое возожно? или должен быть именно один crl файл?

Логи я естественно смотрел, при загрузке он читает оба crl файла

Sep 18 13:38:25 charon: 00[CFG] loading crls from ‘/etc/ipsec.d/crls’

Sep 18 13:38:25 charon: 00[CFG] loaded crl from ‘/etc/ipsec.d/crls/1.crl’

Sep 18 13:38:25 charon: 00[CFG] loaded crl from ‘/etc/ipsec.d/crls/2.crl’

Sep 18 13:38:25 charon: 00[LIB] crl #01 is not newer - existing crl #02 retained

djserg-minyar
() автор топика
Ответ на: комментарий от djserg-minyar

мне нужно чтобы для каждого сертификата был свой crl файл. Такое возожно?

Не знаю конкретно про strongswan, но вообще так не делается. Не в смысле «так не принято», а в смысле «это неправильно на уровне концепции». Может быть, что-то можно нагородить при помощи delta CRLs, но зачем?

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 3)