VPN blokace uzivatelu
Michal Dobes
dobes na tesnet.cz
Čtvrtek Únor 2 16:47:43 CET 2006
Dalibor Kouřil napsal(a):
> Dobry den, chtel jsem se zeptat jak by sli zablokovat uzivatele na
> OPENVPN 2.0, když jsem jim vygeneroval certifikaty a poslal jim je
> podepsane vcetne ca.crt. Zkousel jsem revoke, ale nejak to nefungovalo...
OpenVPN CRL seznamy pouziva, takze neco jste nezvladl.
Po te, co je certifikat revokovan je treba vygenerovat CRL list
a ten podhodit nekam OpenVPN k nahlizeni a funguje to pak dobre
(cestu k CRL listu definuje v konfiguraci OpenVPN volba crl-verify).
Jak vygenerovat CRL list po revokovani certifikatu zalezi na tom,
cim ty certifikaty spravujete. Pokud je pouzita ta sada skriptu,
co je soucasti distribuce OpenVPN, tak je tam make-crl.
Ohledne revokace nezvlada OpenVPN (zkousel jsem 2.0.5) asi toto:
- nekontroluje dobu platnosti CRL listu, ani nezarve, ze vyprsela
a bylo by vhodne opatrit novejsi.
- nezvlada praci s CRL listy v pripade, ze je k podpisu certifikatu
klienta pouzita nekorenova CA, zkratka umi vzit jen jeden CRL list
a ne od vsech CA v retezci. Tenhle problem je i na wish listu
OpenVPN, tak treba v dalsich verzich se dockame. :-)
M.
Další informace o konferenci Linux