Openvpn intermediário CA CRL Question

Question

Openvpn intermediário CA CRL Question

#1 resposta do (1 votos)

2

Eu criei uma autoridade de certificação e uma autoridade de certificação intermediária usando o easy-rsa 2.0. No servidor Openvpn eu uso o certificado intermediário export_ca (conforme a especificação easy-rsa). Quando eu revogo um certificado na minha CA intermediária e copio o novo arquivo crl.pem para o servidor openvpn, recebo esta mensagem:

CRL: CRL /etc/openvpn/crl.pem é de um emissor diferente do emissor do certificado

Eu li todo o doco openvpn mas nada fala sobre a revogação de um cert / user com uma AC intermediária. Funcionalmente, a CRL funciona - isto é, o certificado / usuário revogado não é capaz de se conectar.

Tenho certeza de que o openvpn está reclamando porque ele não tem toda a cadeia de CAs, mas não está totalmente certo - alguém pode explicar por que recebo isso?

openvpn crl

por Hilton D 04.10.2010 / 17:06

1 resposta

Tags openvpn crl

Ativando módulos apache2, Comando inválido 'AddModule' Por que o Exchange 2003 rejeita silenciosamente emails com anexos grandes?

score 1 · Accepted Answer

parece que você encontrou um bug (menor) no openvpn. Você deve ter a cadeia CA completa (pública) no servidor empilhando as certificações CA e subCA juntas. Quando um cliente se conecta, o processo de verificação passa por toda a cadeia e tenta encontrar uma CRL correspondente. Como não há CRL para a CA intermediária, esta mensagem é impressa, o que é falso.

O que você deve ver também é

CRL CHECK FAILED: [DN] is REVOKED

Contanto que você veja que o certificado emitido pela CA intermediária foi revogado corretamente.

HTH

JJK