Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

OpenVPN. Отзыв сертификата

raMZES
 Поделиться

Рекомендуемые сообщения

raMZES Пользователь

raMZES

Опубликовано
Опубликовано

Добрый день.

Подскажите, как реализуется отзыв сертификата? Что необходимо сделать, чтобы клиент больше не смог подключиться?

r13 Старожил

r13

Опубликовано
Опубликовано

Тут вроде все расписано,

https://openvpn.net/community-resources/revoking-certificates/

Нужно сгенерить файл с отозванными сертификатами и сослаться на него из конфига сервера

raMZES Пользователь

raMZES

Опубликовано
  • Автор
Опубликовано

Да. Я читал это. Спасибо.

Но как это делать в конфигурации сервера Keenetic? В какую секцию записывать?  Нужно ли изменять секцию <ca>...</ca> после генерации сертификата отзыва?

r13 Старожил

r13

Опубликовано
Опубликовано
19 минут назад, raMZES сказал:

Да. Я читал это. Спасибо.

Но как это делать в конфигурации сервера Keenetic? В какую секцию записывать?  Нужно ли изменять секцию <ca>...</ca> после генерации сертификата отзыва?

С вашим устройством не применимо, файл с отзывами класть некуда

keenet07 Старожил

keenet07

Опубликовано
Опубликовано
37 минут назад, r13 сказал:

С вашим устройством не применимо, файл с отзывами класть некуда

А зачем его класть куда-то? Может быть его можно внутрь общего текстового конфига в виде какой-то секции запихать. Нужно изучать.

r13 Старожил

r13

Опубликовано
Опубликовано
22 минуты назад, keenet07 сказал:

А зачем его класть куда-то? Может быть его можно внутрь общего текстового конфига в виде какой-то секции запихать. Нужно изучать.

Вряд-ли такое есть, вся фишка что файл анализируется на каждом переподключении и можно подкладывать отзывы в реальном времени без перезапуска сервера. Но если найдете то ок. 

keenet07 Старожил

keenet07

Опубликовано
Опубликовано (изменено)

Вот это разве не оно?

<crl-verify>
-----BEGIN X509 CRL-----
...   <--сюда вставить тело ключа из файла crl.rsa.2048.pem
-----END X509 CRL-----
</crl-verify>

Опция crl-verify включает чёрный список отозванных сертификатов и указывает файл, из которого этот список нужно читать.

crl.pem

Список отзыва сертификатов CRL

 

 

Изменено пользователем keenet07
raMZES Пользователь

raMZES

Опубликовано
  • Автор
Опубликовано (изменено)
55 минут назад, Кинетиковод сказал:

Если есть доступ к клиентам, то можно tls ключ у всех поменять.

Клиенты - мои знакомые. Они подключаются к моему маршрутизатору для обхода заблокированных сайтов (ок.ru, vk.com и т.д.) в Украине.

Изменено пользователем raMZES

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю