LINUX.ORG.RU
ФорумAdmin

OpenVPN работа с сертификатами

 


1

2

Всем Привет!!!

Ситуация такая: созданы сертификаты, поступает указания о постепенной блокировки некоторых из списка созданных, отзываем сертификаты, после ситуация меняется и поступает указание по восстановлению отозванных сертификатов (так сказать сценарий ослабления-ужесточения карантина).

Как правильно восстановить сертификат и возможно ли это вообще сделать без создания новых? И есть ли способ временно отключить клиентский сертификат, например убрав его из папки ключей с сервера, а потом при необходимости просто выложить в эту папку восстановив работу сертификата?

В зависимости от CA, которым выписываются сертификаты и генерируется crl решение может быть разным.

Как костыль можно в таких случаях не отзывать сертификат, а просто удалять конфиг для данного пользователя из директории ccd на VPN-сервере, правда это сработает только при наличии директивы ccd-exclusive в конфиге сервера

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)

так перегенери crl.pem.
включи туда только те серты, которые должны быть отозваны сейчас.

Как правильно восстановить сертификат

если ты отдал серт/ключ юзеру и удалил с сервера и отозвал серт? зря ты так. Иди на поклон к юзеру и проси серт/ключ обратно. Но вообще надо все на сервере хранить, даже отозванные!

и возможно ли это вообще сделать без создания новых?

если сертификата нет нигде, то создавай заново.

И есть ли способ временно отключить клиентский сертификат, например убрав его из папки ключей с сервера,


Это не работает так. Ты можешь сделать серт и удалить его с сервера, все равно юзер может коннектиться. Условие успешного коннекта - не наличие файла серта/ключа на сервере, а проверка, что его серт был подписан твоим CA.

а потом при необходимости просто выложить в эту папку восстановив работу сертификата?


как советовали, 2 пути временно отключать юзеров:

- перегенерять crl
- вставить им бяку в ccd

Bers666 ★★★★★ ()

Ещё вариант не трогая серты, в ccd клиента прописать параметр disable
Имхо самый комфортный вариант для вашего случая.

anc ★★★★★ ()
27 февраля 2021 г.

это очень просто

Если client-config-dir ccd то для отключения echo ‘disable’ >/etc/openvpn/ccd/имя сертификата

для включения echo ‘enable’ >/etc/openvpn/ccd/имя сертификата

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.