LINUX.ORG.RU

openvpn + ограничение по времени клиентских сертификатов

 , , ,


0

1

Всем привет поднял openvpn на ubuntu при генерации клиентского ключа в easy-rsa указал

        set_var EASYRSA_CERT_EXPIRE     1
        set_var EASYRSA_CRL_DAYS        1
сгенерировал клиентский ключ со сроком на 1 день далее на сервере меняю дату с сегодняшней на 01 янв 20187, но клиент не отключается и vpn прекрасно работает. Если только после смены даты перезапущу сервис openvpn
service openvpn restart
то клиент отключается. Как можно сделать, чтобы клиент автоматически отключался по истечении срока сертификата и не требовалось перезапускать сервис?

Ловите наркомана! Откуда сервер openvpn должен узнать, что ВНЕЗАПНО сменилось время, ась?

dhameoelin ★★★★★ ()

При истечении сертификата, если клиент уже подключен, подключение будет активно до очередной смены сессионных ключей, которая по дефолту происходит раз в 60 минут.

trancefer ★★ ()

1) проверка сертификата (и его срока действия) происходит в начале сеанса

2) время в сертификатах хранится в 32 битном unix timestamp, и поэтому даты дальше 2038 года не поддерживает

Как можно сделать, чтобы клиент автоматически отключался по истечении срока сертификата и не требовалось перезапускать сервис?

периодически отключать клиента принудительно, чтобы он подключился заново. Можно для этого перезапускать сервис :)

Harald ★★★★★ ()
Ответ на: комментарий от trancefer

Да, действительно - поменял дату - прошел час - клиент сам отрубился - вопрос решен) trancefer, спасибо!

vandbs ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.