raMZES Posted December 10, 2019 Posted December 10, 2019 Добрый день. Подскажите, как реализуется отзыв сертификата? Что необходимо сделать, чтобы клиент больше не смог подключиться? Quote
r13 Posted December 10, 2019 Posted December 10, 2019 Тут вроде все расписано, https://openvpn.net/community-resources/revoking-certificates/ Нужно сгенерить файл с отозванными сертификатами и сослаться на него из конфига сервера Quote
raMZES Posted December 11, 2019 Author Posted December 11, 2019 Да. Я читал это. Спасибо. Но как это делать в конфигурации сервера Keenetic? В какую секцию записывать? Нужно ли изменять секцию <ca>...</ca> после генерации сертификата отзыва? Quote
r13 Posted December 11, 2019 Posted December 11, 2019 19 минут назад, raMZES сказал: Да. Я читал это. Спасибо. Но как это делать в конфигурации сервера Keenetic? В какую секцию записывать? Нужно ли изменять секцию <ca>...</ca> после генерации сертификата отзыва? С вашим устройством не применимо, файл с отзывами класть некуда Quote
keenet07 Posted December 11, 2019 Posted December 11, 2019 37 минут назад, r13 сказал: С вашим устройством не применимо, файл с отзывами класть некуда А зачем его класть куда-то? Может быть его можно внутрь общего текстового конфига в виде какой-то секции запихать. Нужно изучать. Quote
r13 Posted December 11, 2019 Posted December 11, 2019 22 минуты назад, keenet07 сказал: А зачем его класть куда-то? Может быть его можно внутрь общего текстового конфига в виде какой-то секции запихать. Нужно изучать. Вряд-ли такое есть, вся фишка что файл анализируется на каждом переподключении и можно подкладывать отзывы в реальном времени без перезапуска сервера. Но если найдете то ок. Quote
Кинетиковод Posted December 11, 2019 Posted December 11, 2019 Если есть доступ к клиентам, то можно tls ключ у всех поменять. Quote
keenet07 Posted December 11, 2019 Posted December 11, 2019 (edited) Вот это разве не оно? <crl-verify>-----BEGIN X509 CRL-----... <--сюда вставить тело ключа из файла crl.rsa.2048.pem-----END X509 CRL-----</crl-verify> Опция crl-verify включает чёрный список отозванных сертификатов и указывает файл, из которого этот список нужно читать. crl.pem Список отзыва сертификатов CRL Edited December 11, 2019 by keenet07 Quote
raMZES Posted December 11, 2019 Author Posted December 11, 2019 Вот. Скорее всего оно (Certificate Revocation List). Спасибо за наводку. Буду тестировать. Quote
raMZES Posted December 11, 2019 Author Posted December 11, 2019 (edited) 55 минут назад, Кинетиковод сказал: Если есть доступ к клиентам, то можно tls ключ у всех поменять. Клиенты - мои знакомые. Они подключаются к моему маршрутизатору для обхода заблокированных сайтов (ок.ru, vk.com и т.д.) в Украине. Edited December 11, 2019 by raMZES Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.