OpenVPN kulcs tiltása

Elvileg azon a gépen, ahol generáltad a kulcsot, kell, hogy legyen a keys directoryban mindenféle .pem állomány. Minden kulcs generálásakor létrejön egy ilyen: 01.pem, 02.pem ...
Szerintem ennek segítségével tudja összerakni a crl.pem-et. Mivel a legenerált .key, .crt állományok nem szükségszerűen kell meglegyenek a szerveren generálás után.

Bár meg kell mondjam, hogy a PKI-kkel kapcsolatban nem vagyok egy szakértő, pusztán használom az OpenVPN-t, és nekem a fentebbiek alapján megy a revoke dolog.

Azt lehet, hogy érdemes lenne kipróbálni, hogy magát a VPN szervert egy másik vason felélesíteni, mint amin a kulcsokat generálgatod. A generálós masinán visszavonsz egy cert-et, ott frissül a crl.pem, amit át kell tolni a VPN szervert futtató vasra. Elvileg ezek alapján mindenféle egyéb .pem, meg .crt állományok nélkül is mennie kéne a dolognak (mármint a visszavont cert-es kliens blokkolásának) szerintem. Lévén a crl.pem minden infót tartalmaz, amire szükség van az ellenőrzéshez.

Ha a kulcs generálós masinán törölted esetleg kézzel ezeket a 01.pem ... stb .pem-eket, akkor lehet, hogy szivacs van. Elvileg kell ott legyen egy index.txt meg egy serial nevű állomány is. Ez a kulcskatalógus, meg, hogy milyen állapotban vannak a kulcsok, a serial meg a következő kiadandó indexet tartalmazza. Szóval ha ezekbe belematat az ember, akkor könnyen szopóág lehet belőle.

Ezzel kapcsolatban annyit mertem eddig elkövetni, hogy egy szkript által szarul legenerált kulcs hegyet kézzel töröltem (ehhez kapcsoltan a .pem-eket, index.txt végéről kigyilkoltam az ezekre vonatkozó a bejegyzéseket, meg frissítettem a serial-t). Ezek után már a jól működő szkript ugyanolyan ID-kre generált kulcsokat és nem lett tele szeméttel a PKI-m.

A Bagoly meg megy ... ;)
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)