В сообщении от Понедельник 08 октября 2007 21:49 Victor Wagner написал(a): > On 2007.10.08 at 23:45:42 +0700, Yury Yurevich wrote: > > > Центром авторизации в таком простом случае является админ. В более > > > сложных это как минимум специально обученный сотрудник в комплекте с > > > компьютером, недоступным по сети. > > > > Кстати, а как сделать отзыв сертификатов в таком случае? Use case > > таков: в роли CA выступает админ. На сервере ключ сервера, сертификат > > сервера заверенный CA и самоподписанный сертификат CA. У клиента > > (скажем, на ноутбуке сотрудника) аналогичный клиентский набор. > > Сотрудник увольняется -- как сообщить серверу, что данный сертификат > > отозван? > > man openvpn на предмет --crl-verify > А также man ca (это который из комплекта openssl) на предмет -gencrl > Вот OCSP openvpn по-моему всё же не умеет. А в данном случае иметь > OCSP-responder на машине, оборудованной более удобным для обновления > хранилищем данных имело бы смысл. Впрочем, никто не мешает хранить CRL > на воткнутый в рутер флэшке, а не внутри прошивки.
Можно держать на сервере сертификаты валидных клиентов. Если сертификата на сервере нет - клиент не валидный. Почему предоставляемая OpenVPN возможность работы в качестве CA для себя самого вызывает у кого-то негативные эмоции, не знаю. Единственно, что мне это мешает избавиться от флэшки на железке (воткнул усб-флэш на 256 метров, запускаю ось прямо с флэши, два года работает, все в порядке, так что жизненный ресурс флэшки очень даже ничего). Стартовый ток с ней получается значительно больше, что мешает использовать с железкой блок питания от сотового телефона. Впрочем, после сдыхания родного БП подключил параллельно с роутером DI-604 к его блоку питания, что и решило вопрос.
