Certificado de autoatendimento do cliente OpenVPN, revogar em outro lugar?

1

Eu me envolvi em uma situação bastante confusa:

  1. Gerei um certificado autoassinado de clientes no servidor A, com o servidor A sendo a autoridade de certificação.
  2. Eu então copiei o certificado auto-assinado (.crt, .key) para o servidor B, que também é uma CA por si só.
  3. Comecei a usar este certificado auto-assinado no servidor B e funcionou, então não pensei muito depois.

Agora, preciso revogar este certificado auto-assinado, mas não posso fazê-lo no servidor B (reclamações sobre "nome não corresponde"). Consegui revogá-lo no servidor A que o assinou, mas como posso informar ao servidor B que esse certificado foi de fato revogado?

Eu tentei copiar o certificado revogado para o servidor B, mas realmente não funciona ...

Plataforma:

  • servidor A: servidor Ubuntu 10.10, versão openssl 0.9.8o
  • servidor B: CentOS 4.4, openssl versão 0.9.7a

Se houver mais alguma coisa que eu possa fornecer, por favor me avise.

Espero que minha explicação faça sentido, se não, por favor, deixe-me uma mensagem. Qualquer ajuda seria muito apreciada!

    
por tw79 23.05.2011 / 08:31

1 resposta

2

Você deve ter copiado os certificados do servidor e do cliente de A para B se os mesmos certificados de cliente ainda funcionarem ao autenticar em B. Não é esse o caso? Se você apenas moveu os certificados de cliente, e não o certificado de servidor, mas ainda pode autenticar para B com certificados de cliente de A, então você deve ter a mesma autoridade de certificação em A e B.

Você não precisa copiar o certificado revogado para B, você só precisa adicionar o certificado à lista de revogação de B. Normalmente, contanto que o servidor e os certificados de cliente sejam assinados pela mesma CA, a autenticação continuará. A revogação funciona adicionando entradas a um arquivo de texto. Quando você autentica com um certificado, o OpenVPN verificará sua Lista de Revogação de Certificados (CRL) para ver se o certificado foi revogado. Você não está fazendo nenhuma alteração no certificado real.

    
por 23.05.2011 / 22:15