[Comm] снова openvpn

[Nikolay A. Fetisov]

On Fri, 3 Jun 2005 11:16:15 +0400
Roman V. Tutov wrote:


>   Если честно то я совсем запутался .
>   1 я создал корневой сертификат

Да - т.е. создали новую CA (Certification Authority, центр выдачи
сертификатов).

>   2 я создал сертификат клиента и его подписал корневым сертификатом

Да - создали клиентский сертификат, и экспортировали его и ключ для
передачи клиенту. Сам сертификат в CA остался.

>   3 пернес сертификат клиента и корневой сертификак на клиентскую
>   сторону .
> 
>   Все это у меня работает ....
> 
>   Далее что-бы отозвать сертификат нужно его иметь .

А он остался в CA, если Вы его специально не удалили.

>   Как я могу его отозвать если он перенесен на машину клиента ?

Пометить его в рамках CA как отозванный. Тогда во время экспорта списка
отзыва из CA он будет внесён туда как недействительный. Список отзыва -
CRL - ещё один файл .pem, указывается в настройках OpenVPN. При
соединении клиента OpenVPN просмотрит CRL, если сертификат клиента
помечен в нём как отозванный - соединение установлено не будет.

Более подробно можно почитать, например, в такой статье:
http://www.webscript.ru/stories/04/05/29/2604693
Правда, там механика работы с SSL дана в применении к HTTPS, но общие
идеи справедливы и для OpenVPN.


-- 
С уважением,	
Николай Фетисов