Posted By: pvl (Tao-te-ting) on 'CZunix' Title: certifikaty & openvpn Date: Thu Oct 18 07:31:09 2007 Zdravim, nenasel by se tu nekdo kdo rozumi certifikatum, CA atd a poradil co delam spatne? Myslel jsem si ze vim jak to ma fungovat, ale asi ne :( Primarne pro openvpn jsem si vytvoril pomoci TinyCA nasi root CA pak jsem si pro jednotlive server (zakazniky) vytvoril subCA a v nich jednotlive certifikaty jak pro server, tak klienty. A mam dva problemy, mozna souvisej. 1) myslel jsem si, ze na server nahraju certifikat jen te samotne subCA, resp tech subCA co maj mit moznost se pripojit (konkretne subCA daneho zakaznika a moje subCA - abych ja pouzival jen jeden cert) To ale vubec nefungovalo, samotny subCA certifikat to nebralo vubec, musel obsahovat certifikaty az po rootCA, coz by tak nevadilo, kdyby se pak ale nemohl nakonektit kdokoli (klient z libovolne subCA!) Mozna jsem ten princip blbe pochopil ja, ale jestli je to takhle ok, pak mi trosku unika vyznam tech subCA. Nicmene toto jsem obesel pres tls-verify script, ktery to osetri sam a ma samo vic moznosti, takze to by bylo celkem ok. 2) potrebuji "vypnout" nejake uzivatele, kteri jiz nemaji mit pristup. Muzu samo vylepsit ten script, ale myslel jsme ze sprave reseni je pres crl. Takze v TinyCA revoknu certifikat a vyexportuju crl. problem je, ze kdyz tento crl predhodim opnvpn, tak pri libovolne konexi pise CRL: CRL ./crl.pem is from a different issuer than the issuer of certificate napise to dvakrat (stejne jako ten tls-verify script se vola pro kazdy level v tom certifikatu). A samo to nebere v potaz. kdyz tam nahraju crl z te rootCA (no revoked certifikates), tak to napise jen jednou. tak jestli to nekdo docet az sem a dokaze poradit? prehledl jsem nejaky maly detail, nebo to delam cele uplne blbe? dik:) Pavel