OpenVPN Ключи

Добавить более не нужные сертификаты в список отзыва сертификатов и подсунуть его openvpn'у. А ключи и сертификаты клиентов вообще на сервере держать не нужно.

http://openvpn.net/index.php/open-source/documentation/howto.html#revoke

google://easy-rsa revoke cert

Наверное это все,что мне нужно.Спасибо +) . ./vars ./revoke-full clients

To mironov_ivan: ...Добавить более не нужные сертификаты в список отзыва сертификатов и подсунуть его openvpn'у.

Я так понял вы это и имели ввиду ? =)

To mironov_ivan: ...Добавить более не нужные сертификаты в список отзыва сертификатов и подсунуть его openvpn'у.

Я так понял вы это и имели ввиду ? =)

Да. Просто кроме easy-rsa есть ещё куча всяких CA разной степени сложности и фичастости. Из простых и удобных есть, например, xca.

И на всякий случай повторю: на сервере не нужно держать все ключи и сертификаты. OpenVPN'у достаточно только тех файлов, которые ты явно указал в конфиге.

Что-то не получается :

root@ubuntu:/usr/share/doc/openvpn/examples/easy-rsa/2.0

# ./revoke-full client2

Using configuration from /usr/share/doc/openvpn/examples/easy-rsa/2.0/openssl.cnf Revoking Certificate 3F.

Data Base Updated

Using configuration from /usr/share/doc/openvpn/examples/easy-rsa/2.0/openssl.cnf client2.crt: /C=RU/ST=BK/L=Mos/O=Mos/CN=client2/ emailAddress=local@local.mydomain.com error 23 at 0 depth lookup:certificate revoked

И клиента все равно пускает ...Почему ? Может нужен ребут ? =)

В конфиге openvpn прописан crl-verify?

нет..не прописан

так как все таки отозвать ключи ?

Ну ты прописал crl-verify то? Без него не будет база отозванных сертов юзаться.

http://openvpn.net/index.php/open-source/documentation/howto.html#revoke