Dotaz: OpenVPN a odvolani revoke

22.7.2010 14:44 Jan
OpenVPN a odvolani revoke

Přečteno: 870×

Odpovědět | Admin

Dobry den,

resim nasledujici problem: da se nejak odvolat provedeny revoke?

Predem dekuji za rady i nazory..

Nástroje: Začni sledovat (0) ?

Odpovědi

22.7.2010 14:56 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: OpenVPN a odvolani revoke

Jestli spravujete klasickou certifikacni autoritu pres OpenSSL, mate nejspis soubor index.txt. V nem je nekolik sloupecku. Prvni rika, jestli je Validni nebo Revokovana, pak je datum vytvoreni a pak datum revokace.
Bohate vam staci prepsat R na V, smazat datum revokace, pregenerovat a rozdistribuovat CRL.

23.7.2010 12:43 Jan
Rozbalit Rozbalit vše Re: OpenVPN a odvolani revoke

Mnohokrat dekuji za odpoved.. Presne neco podobneho jsem potreboval slyset :) Bohuzel nemam s OpenVPN mnoho zkusenosti a v praci jsem ji dostal na starost spravovat (vim neni nejlepsi se vrtat v necem cemu nerozumim)..a jeste me napadlo: nedal by se radek pouze vymazat? Popr. nahrazuje tento radek nejaky predesly s Validnim zaznamem a muze se pouze upravit/prepsat nebo jej pouze doplnuje o zaznam na konec souboru a ten posledni bere jako aktualni a je jej tedy mozne smazat a prevezme se predchozi radek?

Doufam, ze jsem to nenapsal uplne zmatecne a ze me pochopite..

Jeste jednou dekuji za pomoc.

23.7.2010 15:04 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: OpenVPN a odvolani revoke

Vymazani nedoporucuju. Jednotlive certifikaty maji seriova cisla a cn. Je docela dulezite mit moznost dohledat vsechny uz vydane certifikaty a pripadne je odvolat. Neni nic otravnejsiho, nez po dvou letech hadat, co mohlo byt na smazanem radku. Nova CA se zavadi dost pracne.
Navic byste si nejspis rozbil pripadne OCSP overovani.
Jestli skutecne z nejakeho zvlastniho duvodu nepotrebujete zrusit revokaci, normalne podepiste novy certifikat se stejnym cn a revokovany jednoduse ignorujte. Kazdy jednotlivy certifikat je platny nebo revokovany sam o sobe a jine certifikaty na nej nemaji vliv. A to ani ty se stejnym cn.
Kontrolni otazka: co se podle Vas deje, kdyz vyprsi platnost certifikatu?

24.7.2010 12:30 Jan
Rozbalit Rozbalit vše Re: OpenVPN a odvolani revoke

No dobra nebudu jiz chodit kolem horke kase - co presne nastalo: Nebyl totiz revokovan certifikat uzivatele, ale certifikat CA. Vim, ze je to prinejmensim k smichu, ale bohuzel byl revoke proveden ne pro cert.pem, ale pro cacert.pem a ja to ted resim.. Tzn. ze kdyz ted vyrobim crl, tak mi openvpn pochopitelne zacne odkopavat veskere uzivatele. To je ten pravy duvod proc resim unrevoke a ne jen vygenerovani noveho certifikatu..takze byste radil upravu v index.txt vymazanim data revokace a prepsani R na V?

Nechci se opakovat, ale jeste jednou dekuji za Vas cas a opravdu si vazim Vasich odpovedi..

Odpoved na "soutezni otazku": Jak rikam, nejsem nijak proskolen v OpenVPN, ale predpokladam, ze by vyprseni certifikatu mohlo byt kontrolovano datem + 365 (popr. jinak pokud si zmenim dobu na kterou vydavam certifikat). Ale budu rad, kdyz mne opravite :)

26.7.2010 13:14 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: OpenVPN a odvolani revoke

Uprava R->V a vymazani data revokace v index.txt by Vas problem mohlo vyresit. V jednom sloupecku je tusim i duvod revokace, ale detaily si uz jiste najdete.
Otazka byla kontrolni, ne soutezni, tykala se SSL certifikatu obecne a znela "co se deje po vyprseni certifikatu" mysleno ohledne vydani noveho.

27.7.2010 12:34 Jan
Rozbalit Rozbalit vše Re: OpenVPN a odvolani revoke

Mohu mit jeste jednu prosbu...vazim si sice vasich rad, ale reseni problemu zde je trochu zdlouhave, vim, ze se jedna o trochu osobni kontakty, ale mohl bych si na vas vzit jabber, popr. icq ci jiny IM kontakt a zeptat se na par poslednich veci? Nechci sem davat vypis z mych souboru - preci jen se jedna o firemni data a nerad bych je vystavoval na net ;-)

Kontakty na me:

Jabber: k4n3c@jabbim.cz ICQ: 326-345-479

Diky...

27.7.2010 14:53 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: OpenVPN a odvolani revoke

Sorry, nebudu delat vasi firme free tech support.

27.7.2010 16:17 Jan
Rozbalit Rozbalit vše Re: OpenVPN a odvolani revoke

Tak jsme to samozrejme nemyslel, jen se nevyznam v tom indexu.txt a nerad bych tam neco zkazil...nechtel sem te zavalit myma problemama, jen se zeptat na jednu konretni vec. Ale samozrejme to naprosto chapu no..tak jestli bych mohl alepson takhle - co teda vymazat prosim? a jeste aby tam teda nebyla narusena nejak posloupnost tech 015A B C D...?

V 110715110816Z 015A unknown /C=CZ/ST=Bohemia/..../CN=Prijmeni_Jmeno1/emailAddress=neco@neco.cz

V 110719070213Z 015B unknown /C=CZ/ST=Bohemia/..../CN=Prijmeni_Jmeno3/emailAddress=neco@neco.cz

V 110719114840Z 015C unknown /C=CZ/ST=Bohemia/.../CN=Prijmeni_Jmeno2/emailAddress=neco@neco.cz

R 180405122408Z 100722105715Z 00 unknown /C=CZ/ST=Bohemia/.../CN=vpnCA/emailAddress=ca@neco.cz

V 110722124828Z 015D unknown /C=CZ/ST=Bohemia/..../CN=Prijmeni_Jmeno4/emailAddress=neco@neco.cz

27.7.2010 17:13 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: OpenVPN a odvolani revoke

Posloupnost "015A B C D..." je normalni poradove cislo certifikatu v hexadecimalni soustave. Dost dobre nechapu, jak se vam podarilo nacpat revokovany certifikat mezi 015C a 015D.
Jestli je to skutecne certifikat autority, tak bych ho normalne smazal. Ja se ted podival na dve nase CA a ani jedna nema v indexu svuj vlastni certifikat a poradova cisla zacinaji jednickou.
U klientskeho normalne smazte datum revokace a prepiste R na V. Zmena z
R 180405122408Z 100722105715Z 00 unknown /C=CZ/ST=Bohemia/.../CN=vpnCA/emailAddress=ca@neco.cz
na
V 180405122408Z 00 unknown C=CZ/ST=Bohemia/.../CN=vpnCA/emailAddress=ca@neco.cz
Jeste byste mel zjistit seriove cislo, protoze nula to urcite nebude. Najdete ho na radku "Serial Number" ve vypisu openssl x509 -in cert.pem.
Pred pokusy si vsechno odzalohujte!

3.8.2010 10:48 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: OpenVPN a odvolani revoke

Dozvime se, jak jste dopadl?

Založit nové vlákno • Nahoru

Tiskni Sdílej: