Автор Тема: openvpn, отзыв сертификатов. [решено]  (Прочитано 2378 раз)

Оффлайн zhhh

  • Завсегдатай
  • *
  • Сообщений: 56
Добрый день.
На сервере p7 поднят openvpn, easyrsa сертификаты выдает, клиенты ходят удаленно на сервер. пришло время отозвать некоторые сертификаты, сделал по инструкции в вики, файл отозванных сертификатов генерится, в index.txt видно что сертификат отозван. Добавляю в конфиг строку crl-verify crl.pem, сервер стартует, но перестают подключаться все клиенты. Что делаю не так?
Отзыв сертификатов
Генерация файла отозванных ключей:
easyrsa gen-crl
Сделать символическую ссылку в каталог с ключами (конечно, файл можно и скопировать, но придется делать каждый раз при отзыве сертификата):
ln -s /root/pki/crl.pem /var/lib/openvpn
В файл конфигурации openvpn сервера добавить строку
crl-verify crl.pem
Отзыв сертификата пользователя User:
easyrsa revoke User
Каждый раз при отзыве сертификата необходимо обновлять crl.pem, чтобы внести в него изменения:
easyrsa gen-crl
« Последнее редактирование: 03.10.2017 05:55:16 от Skull »

Оффлайн zhhh

  • Завсегдатай
  • *
  • Сообщений: 56
Re: openvpn, отзыв сертификатов
« Ответ #1 : 02.10.2017 22:28:29 »
попробовал вместо ссылки подложить в папку "/var/lib/openvpn/etc" сам файл crl.pem
теперь работает с параметром
crl-verify etc/crl.pem
 :-)

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 222
Re: openvpn, отзыв сертификатов
« Ответ #2 : 03.10.2017 12:59:10 »
попробовал вместо ссылки подложить в папку "/var/lib/openvpn/etc" сам файл crl.pem
теперь работает с параметром
crl-verify etc/crl.pem
 :-)
в альте openvpn наверно в chroot запускается, потому так.