Re: Сертификаты OpenVPN
В сообщении от Понедельник 08 октября 2007 21:49 Victor Wagner написал(a):
> On 2007.10.08 at 23:45:42 +0700, Yury Yurevich wrote:
> > > Центром авторизации в таком простом случае является админ. В более
> > > сложных это как минимум специально обученный сотрудник в комплекте с
> > > компьютером, недоступным по сети.
> >
> > Кстати, а как сделать отзыв сертификатов в таком случае? Use case
> > таков: в роли CA выступает админ. На сервере ключ сервера, сертификат
> > сервера заверенный CA и самоподписанный сертификат CA. У клиента
> > (скажем, на ноутбуке сотрудника) аналогичный клиентский набор.
> > Сотрудник увольняется -- как сообщить серверу, что данный сертификат
> > отозван?
>
> man openvpn на предмет --crl-verify
> А также man ca (это который из комплекта openssl) на предмет -gencrl
> Вот OCSP openvpn по-моему всё же не умеет. А в данном случае иметь
> OCSP-responder на машине, оборудованной более удобным для обновления
> хранилищем данных имело бы смысл. Впрочем, никто не мешает хранить CRL
> на воткнутый в рутер флэшке, а не внутри прошивки.
Можно держать на сервере сертификаты валидных клиентов. Если сертификата на
сервере нет - клиент не валидный. Почему предоставляемая OpenVPN возможность
работы в качестве CA для себя самого вызывает у кого-то негативные эмоции, не
знаю. Единственно, что мне это мешает избавиться от флэшки на железке
(воткнул усб-флэш на 256 метров, запускаю ось прямо с флэши, два года
работает, все в порядке, так что жизненный ресурс флэшки очень даже ничего).
Стартовый ток с ней получается значительно больше, что мешает использовать с
железкой блок питания от сотового телефона. Впрочем, после сдыхания родного
БП подключил параллельно с роутером DI-604 к его блоку питания, что и решило
вопрос.
Reply to: