VPN blokace uzivatelu

Michal Dobes dobes na tesnet.cz
Čtvrtek Únor 2 16:47:43 CET 2006


Dalibor Kouřil napsal(a):
> Dobry den, chtel jsem se zeptat jak by sli zablokovat uzivatele na 
> OPENVPN 2.0, když jsem jim vygeneroval certifikaty a poslal jim je 
> podepsane vcetne ca.crt. Zkousel jsem revoke, ale nejak to nefungovalo...

OpenVPN CRL seznamy pouziva, takze neco jste nezvladl.
Po te, co je certifikat revokovan je treba vygenerovat CRL list
a ten podhodit nekam OpenVPN k nahlizeni a funguje to pak dobre
(cestu k CRL listu definuje v konfiguraci OpenVPN volba crl-verify).

Jak vygenerovat CRL list po revokovani certifikatu zalezi na tom,
cim ty certifikaty spravujete. Pokud je pouzita ta sada skriptu,
co je soucasti distribuce OpenVPN, tak je tam make-crl.

Ohledne revokace nezvlada OpenVPN (zkousel jsem 2.0.5) asi toto:
- nekontroluje dobu platnosti CRL listu, ani nezarve, ze vyprsela
a bylo by vhodne opatrit novejsi.
- nezvlada praci s CRL listy v pripade, ze je k podpisu certifikatu
klienta pouzita nekorenova CA, zkratka umi vzit jen jeden CRL list
a ne od vsech CA v retezci. Tenhle problem je i na wish listu
OpenVPN, tak treba v dalsich verzich se dockame. :-)

M.



Další informace o konferenci Linux