On 2007.10.08 at 23:45:42 +0700, Yury Yurevich wrote: > > Центром авторизации в таком простом случае является админ. В более > > сложных это как минимум специально обученный сотрудник в комплекте с > > компьютером, недоступным по сети. > > > Кстати, а как сделать отзыв сертификатов в таком случае? Use case > таков: в роли CA выступает админ. На сервере ключ сервера, сертификат > сервера заверенный CA и самоподписанный сертификат CA. У клиента > (скажем, на ноутбуке сотрудника) аналогичный клиентский набор. > Сотрудник увольняется -- как сообщить серверу, что данный сертификат > отозван?
man openvpn на предмет --crl-verify А также man ca (это который из комплекта openssl) на предмет -gencrl Вот OCSP openvpn по-моему всё же не умеет. А в данном случае иметь OCSP-responder на машине, оборудованной более удобным для обновления хранилищем данных имело бы смысл. Впрочем, никто не мешает хранить CRL на воткнутый в рутер флэшке, а не внутри прошивки. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
