Bonjour,
Voila je me posais quelques questions, il s'avère que je dipose d'un serveur OpenVPN, et dun autre serveur surlequel les certificats clients sont générés (via des commandes openssl ala mano).
Mais voila a l'heure actuelle aucunne possiiblité de révoquer un certificat existant pour OpenVPN.
En effet il semble qu'il faille inclure la directive
crl-verify filename.pem
Dans la conf openvpn et ce n'est pas encore le cas et pour cause.
je me posais quelques interrogations sur ce fichier pem.
Avec les commandes suivantes:
openssl ca -revoke certifcate.crt
openssl ca -gencrl -out /etc/ssl/CA/crl/crl.pem
(issu du site http://www.section6.net/wiki/index.php/Basics_of_using_OpenS(...)
Ce que je ne comprend pas c'est qu au final mon fichier crl.pem va toujours etre écrasé et aucune "liste ne va être créée ?
DOnc en gros c'est un peu flou pour moi, je me demande donc comment en générant mes certifs sur une machine tiers je pourrais faire reconnaitre les certificats révoqués par le serveur openvpn. (j'utiliserais surement un rsync over ssh pour deposer le fichier crl.pem)
Donc ai je uniquement besoin de ce fichier crl.pem ?
Si non quels autres fichiers/directory sont necessaire (en sachant que le serveur openvpn) reconnait bien les certifcats que j'utilise donc pour moi la conf openssl doit etre identique ...
Ou est ce que la commande suivante stocke ses informations ?
openssl ca -revoke certifcate.crt
Merci d'avance pour vos lumières!
Forum Astuces.divers OpenVPN & revocation de certificat client
28
juil.
2010
# strace is your friend
Posté par nono14 (site web personnel) . Évalué à 2.
Système - Réseau - Sécurité Open Source
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.