Romline
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
admin931
Цитата:| но есть и второй способ - отозвать ключ |
Мне не для Unix-системы, у меня Windows Server 2003.
Как это сделать на нём? Версия Open VPN- 2.2.1.
Добавлено:
Цитата:
Есть такой bat-файл, находится в "C:\Program Files\OpenVPN\easy-rsa"вот его содержимое:
Код:
@echo off
cd %HOME%
rem revoke cert
openssl ca -revoke %KEY_DIR%\%1.crt -config %KEY_CONFIG%
rem generate new crl
openssl ca -gencrl -out %KEY_DIR%\crl.pem -config %KEY_CONFIG%
rem test revocation
rem first concatinate ca cert with newly generated crl
copy %KEY_DIR%\ca.crt+%KEY_DIR%\crl.pem %KEY_DIR%\revoke_test_file.pem
rem now verify the revocation
openssl verify -CAfile %KEY_DIR%\revoke_test_file.pem -crl_check %KEY_DIR%\%1.crt
rem delete temporary test file
del /q %KEY_DIR%\revoke_test_file.pem
|
Нашёл инструкцию по отзыву сертификата:
To revoke a TLS certificate and generate a CRL file:
1. vars
2. revoke-full <machine-name>
3. verify last line of output confirms revokation
4. copy crl.pem to server directory and ensure config file uses "crl-verify <crl filename>"
Вот что получил в командной строке в результате:
Код: C:\Program Files\OpenVPN\easy-rsa>revoke-full user
WARNING: can't open config file: c:\openssl/ssl/openssl.cnf
Using configuration from openssl-1.0.0.cnf
Loading 'screen' into random state - done
Revoking Certificate 04.
Data Base Updated
WARNING: can't open config file: c:\openssl/ssl/openssl.cnf
Using configuration from openssl-1.0.0.cnf
Loading 'screen' into random state - done
keys\ca.crt
keys\crl.pem
Скопировано файлов: 1.
WARNING: can't open config file: c:\openssl/ssl/openssl.cnf
keys\user.crt: C = RU, ST = ST, L = xxxx, O = xxxxx, OU = xxxxx, CN
= User, name = User, emailAddress = xxxxx@xxxx.xx
error 23 at 0 depth lookup:certificate revoked |
Теперь попробую вписать в конфиг сервера строку:
crl-verify "C:\\Program Files\\OpenVPN\\config\\crl.pem
Посмотрю, получится зайти под этим сертификатом или нет...
UPD:
Кажется, всё получилось:
Часть лога сервера:
-----------------------------------------------------------------------------------------------
Код: Sat Feb 21 00:34:58 xx.xxx.xxx.xxx:xxxxx CRL CHECK OK: /C=RU/ST=ST/L=xxxxxxxx/O=xxxxxxxx/OU=xxxxxxxx/CN=SERVER/name=xxxxxxxx/emailAddress=xxxx@xxxx.xx
Sat Feb 21 00:34:58 xx.xxx.xxx.xxx:xxxxx VERIFY OK: depth=1, /C=RU/ST=ST/L=xxxxxxxx/O=xxxxxxxx/OU=xxxxxxxx/CN=SERVER/name=xxxxxxxx/emailAddress=xxxx@xxxx.xx
Sat Feb 21 00:34:58 xx.xxx.xxx.xxx:xxxxx CRL CHECK FAILED: /C=RU/ST=ST/L=xxxxxxxx/O=xxxxxxxx/OU=xxxxxxxx/CN=User/name=User/emailAddress=xxxx@xxxx.xx is REVOKED
Sat Feb 21 00:34:58 xx.xxx.xxx.xxx:xxxxx TLS_ERROR: BIO read tls_read_plaintext error: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Sat Feb 21 00:34:58 xx.xxx.xxx.xxx:xxxxx TLS Error: TLS object -> incoming plaintext read error
Sat Feb 21 00:34:58 xx.xxx.xxx.xxx:xxxxx TLS Error: TLS handshake failed
Sat Feb 21 00:34:58 xx.xxx.xxx.xxx:xxxxx SIGUSR1[soft,tls-error] received, client-instance restarting |
-----------------------------------------------------------------------------------------------
Часть лога клиента:
-----------------------------------------------------------------------------------------------
Код:
Sat Feb 21 00:34:56 2015 OpenVPN 2.2.1 Win32-MSVC++ [SSL] [LZO2] built on Jul 1 2011
Sat Feb 21 00:34:56 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Feb 21 00:34:56 2015 LZO compression initialized
Sat Feb 21 00:34:56 2015 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sat Feb 21 00:34:56 2015 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Feb 21 00:34:56 2015 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sat Feb 21 00:34:56 2015 Local Options hash (VER=V4): '41690919'
Sat Feb 21 00:34:56 2015 Expected Remote Options hash (VER=V4): '530fdded'
Sat Feb 21 00:34:56 2015 UDPv4 link local: [undef]
Sat Feb 21 00:34:56 2015 UDPv4 link remote: xx.xxx.xxx.xxx:xxxx
Sat Feb 21 00:34:56 2015 TLS: Initial packet from xx.xxx.xxx.xxx:xxxx, sid=2d5adaf8 bb0cc732
Sat Feb 21 00:34:57 2015 VERIFY OK: depth=1, /C=RU/ST=ST/L=xxxxxxxx/O=xxxxxxxx/OU=xxxxxxxx/CN=SERVER/name=xxxxxxxx/emailAddress=xxxxxxx@xxxx.xx
Sat Feb 21 00:34:57 2015 VERIFY OK: nsCertType=SERVER
Sat Feb 21 00:34:57 2015 VERIFY OK: depth=0, /C=RU/ST=ST/L=xxxxxxxx/O=xxxxxxxx/OU=xxxxxxxx/CN=SERVER/name=xxxxxxxx/emailAddress=xxxxxxx@xxxx.xx
Sat Feb 21 00:35:53 2015 TCP/UDP: Closing socket
Sat Feb 21 00:35:53 2015 SIGTERM[hard,] received, process exiting
|
И ещё вопрос: увеличится ли скорость, если использовать не UDP, a TCP?
Заранее благодарен за советы и помощь! |
Всего записей: 491 | Зарегистр. 19-03-2005 | Отправлено: 23:25 20-02-2015 | Исправлено: Romline, 01:02 21-02-2015 |
|
