raMZES Posted December 10, 2019 Share Posted December 10, 2019 Добрый день. Подскажите, как реализуется отзыв сертификата? Что необходимо сделать, чтобы клиент больше не смог подключиться? Quote Link to comment Share on other sites More sharing options...
r13 Posted December 10, 2019 Share Posted December 10, 2019 Тут вроде все расписано, https://openvpn.net/community-resources/revoking-certificates/ Нужно сгенерить файл с отозванными сертификатами и сослаться на него из конфига сервера Quote Link to comment Share on other sites More sharing options...
raMZES Posted December 11, 2019 Author Share Posted December 11, 2019 Да. Я читал это. Спасибо. Но как это делать в конфигурации сервера Keenetic? В какую секцию записывать? Нужно ли изменять секцию <ca>...</ca> после генерации сертификата отзыва? Quote Link to comment Share on other sites More sharing options...
r13 Posted December 11, 2019 Share Posted December 11, 2019 19 минут назад, raMZES сказал: Да. Я читал это. Спасибо. Но как это делать в конфигурации сервера Keenetic? В какую секцию записывать? Нужно ли изменять секцию <ca>...</ca> после генерации сертификата отзыва? С вашим устройством не применимо, файл с отзывами класть некуда Quote Link to comment Share on other sites More sharing options...
keenet07 Posted December 11, 2019 Share Posted December 11, 2019 37 минут назад, r13 сказал: С вашим устройством не применимо, файл с отзывами класть некуда А зачем его класть куда-то? Может быть его можно внутрь общего текстового конфига в виде какой-то секции запихать. Нужно изучать. Quote Link to comment Share on other sites More sharing options...
r13 Posted December 11, 2019 Share Posted December 11, 2019 22 минуты назад, keenet07 сказал: А зачем его класть куда-то? Может быть его можно внутрь общего текстового конфига в виде какой-то секции запихать. Нужно изучать. Вряд-ли такое есть, вся фишка что файл анализируется на каждом переподключении и можно подкладывать отзывы в реальном времени без перезапуска сервера. Но если найдете то ок. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted December 11, 2019 Share Posted December 11, 2019 Если есть доступ к клиентам, то можно tls ключ у всех поменять. Quote Link to comment Share on other sites More sharing options...
keenet07 Posted December 11, 2019 Share Posted December 11, 2019 (edited) Вот это разве не оно? <crl-verify>-----BEGIN X509 CRL-----... <--сюда вставить тело ключа из файла crl.rsa.2048.pem-----END X509 CRL-----</crl-verify> Опция crl-verify включает чёрный список отозванных сертификатов и указывает файл, из которого этот список нужно читать. crl.pem Список отзыва сертификатов CRL Edited December 11, 2019 by keenet07 Quote Link to comment Share on other sites More sharing options...
raMZES Posted December 11, 2019 Author Share Posted December 11, 2019 Вот. Скорее всего оно (Certificate Revocation List). Спасибо за наводку. Буду тестировать. Quote Link to comment Share on other sites More sharing options...
raMZES Posted December 11, 2019 Author Share Posted December 11, 2019 (edited) 55 минут назад, Кинетиковод сказал: Если есть доступ к клиентам, то можно tls ключ у всех поменять. Клиенты - мои знакомые. Они подключаются к моему маршрутизатору для обхода заблокированных сайтов (ок.ru, vk.com и т.д.) в Украине. Edited December 11, 2019 by raMZES Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.