Сертификат самоподписания клиента OpenVPN, отозвать в другом месте?
Я попал в довольно грязную ситуацию:
- Я сгенерировал самозаверяющий сертификат клиента на сервере A, где сервер A является центром сертификации.
- Затем я скопировал самоподписанный сертификат (.crt, .key) на сервер B, который сам по себе также является центром сертификации.
- Я начал использовать этот самозаверяющий сертификат на сервере B, и он работал, поэтому после этого я не особо задумывался.
Теперь мне нужно отозвать этот самозаверяющий сертификат, однако я не могу сделать это на сервере B (он жалуется на "имя не совпадает"). Мне удалось отозвать его на сервере A, который подписал его, но как я могу сообщить серверу B, что этот сертификат действительно был отозван?
Я пытался скопировать отозванный сертификат на сервер B, но он не работает...
Платформа:
- сервер A: Ubuntu server 10.10, openssl версия 0.9.8o
- сервер B: CentOS 4.4, openssl версия 0.9.7a
Если есть что-то еще, что я могу предоставить, пожалуйста, дайте мне знать.
Надеюсь, что мое объяснение имеет смысл, если нет, пожалуйста, оставьте мне сообщение. Любая помощь будет очень высоко ценится!
1 ответ
Вы, должно быть, скопировали сертификаты сервера и клиента из A в B, если те же клиентские сертификаты все еще работают при аутентификации в B. Разве это не так? Если вы переместили только сертификаты клиента, а не сертификат сервера, но вы все равно можете пройти аутентификацию на B с помощью сертификатов клиента от A, то у вас должен быть один и тот же CA на A и B.
Вам не нужно копировать отозванный сертификат в B, вам просто нужно добавить сертификат в список отзыва B. Обычно, если сертификаты сервера и клиента подписаны одним и тем же центром сертификации, аутентификация будет продолжаться. Отзыв работает путем добавления записей в текстовый файл. Когда вы аутентифицируетесь с помощью сертификата, OpenVPN проверит ваш список отзыва сертификатов (CRL), чтобы узнать, был ли сертификат отозван. Вы не вносите никаких изменений в настоящий сертификат.