Наступил сегодня на лёгкие грабельки, которые сам в своё время и оставил валяться 🙂
Сегодня в срочном порядке понадобилось отозвать сертификат одного из клиентов по причине попадания его компьютера в “недобрые”, а что самое главное, чужие руки.
Америк я вам никаких открывать не собираюсь – отзыв сертификата сделал в той же заветной директории /etc/openvpn/easy-rsa/2.0 – короче, где я эти сертификаты породил, там я их и…
В общем делаю отзыв сертификата как и полагается:
#cd /etc/openvpn/easy-rsa/2.0
#source ./vars
#./revoke-full имя_сертификата
А мы всё продолжаем с отозванным сертификатом ходить как ни в чём не бывало…
Ну что за Константин Ёпрст?
Не долго думая, лезу в “гугел” и… начинаю чуйствовать себя как-то неловко.
Ну откуда серверу знать о том какой сертификат отозван а какой нет если в конфиге сервера не указан путь к crl.pem?
Недолго думая, добавил в конфиг заветную строчку
crl-verify /etc/openvpn/crl.pem
а в скрипт revoke-full добавил в самом конце строчку, чтобы каждый раз файл не копировать руками
#cp -f /etc/openvpn/easy-rsa/2.0/keys/crl.pem /etc/openvpn/
С тех пор, счастье поселилось во вверенном мне офисе.
Надолго ли… 🙂