Posted By: pvl (Tao-te-ting) on 'CZunix'
Title:     certifikaty & openvpn
Date:      Thu Oct 18 07:31:09 2007

Zdravim,

nenasel by se tu nekdo kdo rozumi certifikatum, CA atd a poradil co delam 
spatne? Myslel jsem si ze vim jak to ma fungovat, ale asi ne :(

Primarne pro openvpn jsem si vytvoril pomoci TinyCA nasi root CA
pak jsem si pro jednotlive server (zakazniky) vytvoril subCA a v nich 
jednotlive certifikaty jak pro server, tak klienty.
A mam dva problemy, mozna souvisej.
 
1)
myslel jsem si, ze na server nahraju certifikat jen te samotne subCA, resp 
tech subCA co maj mit moznost se pripojit (konkretne subCA daneho zakaznika a 
moje subCA - abych ja pouzival jen jeden cert)
To ale vubec nefungovalo, samotny subCA certifikat to nebralo vubec, musel 
obsahovat certifikaty az po rootCA, coz by tak nevadilo, kdyby se pak ale 
nemohl nakonektit kdokoli (klient z libovolne subCA!)
Mozna jsem ten princip blbe pochopil ja, ale jestli je to takhle ok, pak mi 
trosku unika vyznam tech subCA.
Nicmene toto jsem obesel pres tls-verify script, ktery to osetri sam a ma samo 
vic moznosti, takze to by bylo celkem ok.

2)
potrebuji "vypnout" nejake uzivatele, kteri jiz nemaji mit pristup.
Muzu samo vylepsit ten script, ale myslel jsme ze sprave reseni je pres crl.
Takze v TinyCA revoknu certifikat a vyexportuju crl.

problem je, ze kdyz tento crl predhodim opnvpn, tak pri libovolne konexi pise 
CRL: CRL ./crl.pem is from a different issuer than the issuer of certificate

napise to dvakrat (stejne jako ten tls-verify script se vola pro kazdy level v 
tom certifikatu).
A samo to nebere v potaz.

kdyz tam nahraju crl z te rootCA (no revoked certifikates), tak to napise jen 
jednou.



tak jestli to nekdo docet az sem a dokaze poradit? prehledl jsem nejaky maly 
detail, nebo to delam cele uplne blbe?

dik:)
Pavel 
 
 

Search the boards