Suite à certains conseils ici, je viens de réessayer d'implémenter une
solution d'accès à base d'OpenVPN. Ma question est à propos des
certificats. Sachant que l'objectif est de fournir un certificat x509
valable un certain temps à chaque client nomade, comment gère-t-on la
révocation de ces certificats (départ de la personne, etc...)?
Peut-on utiliser la commande openssl pour cela ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Erwann ABALEA
Bonjour,
On Wed, 23 Feb 2005, DAPL wrote:
Suite à certains conseils ici, je viens de réessayer d'implémenter une solution d'accès à base d'OpenVPN. Ma question est à propos des certificats. Sachant que l'objectif est de fournir un certificat x509 valable un certain temps à chaque client nomade, comment gère-t-on la révocation de ces certificats (départ de la personne, etc...)? Peut-on utiliser la commande openssl pour cela ?
Oui: openssl ca -revoke certifarevoquer.pem openssl ca -gencrl
Tu récupères la CRL produite, et tu la places au bon endroit sur ton serveur OpenVPN (que tu as configuré pour vérifier la CRL, bien sûr).
Je crois avoir vérifié dans les sources d'OpenVPN que la vérification de la CRL à chaque authentification client relisait la CRL fournie en paramètre, plutôt que de la placer en cache (comme Apache+mod_ssl par exemple), ce qui est bien (ça évite de devoir redémarrer le daemon OpenVPN à chaque mise à jour de la CRL).
Attention, une CRL a elle aussi une durée de validité. Tu devras donc générer périodiquement la CRL, et la remettre au bon endroit.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- hier j ai sans le vouloirs j'ai envoyé un virus sur Internet qu'une personne mal intentionné m'avez donné pour tous . je leurs demande de m'excuser -+- RP in : GNU - Le retour du fils de la vengeance d'Henry -+-
Bonjour,
On Wed, 23 Feb 2005, DAPL wrote:
Suite à certains conseils ici, je viens de réessayer d'implémenter une
solution d'accès à base d'OpenVPN. Ma question est à propos des
certificats. Sachant que l'objectif est de fournir un certificat x509
valable un certain temps à chaque client nomade, comment gère-t-on la
révocation de ces certificats (départ de la personne, etc...)?
Peut-on utiliser la commande openssl pour cela ?
Oui:
openssl ca -revoke certifarevoquer.pem
openssl ca -gencrl
Tu récupères la CRL produite, et tu la places au bon endroit sur ton
serveur OpenVPN (que tu as configuré pour vérifier la CRL, bien sûr).
Je crois avoir vérifié dans les sources d'OpenVPN que la vérification de
la CRL à chaque authentification client relisait la CRL fournie en
paramètre, plutôt que de la placer en cache (comme Apache+mod_ssl par
exemple), ce qui est bien (ça évite de devoir redémarrer le daemon OpenVPN
à chaque mise à jour de la CRL).
Attention, une CRL a elle aussi une durée de validité. Tu devras donc
générer périodiquement la CRL, et la remettre au bon endroit.
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
hier j ai sans le vouloirs j'ai envoyé un virus sur Internet
qu'une personne mal intentionné m'avez donné pour tous .
je leurs demande de m'excuser
-+- RP in : GNU - Le retour du fils de la vengeance d'Henry -+-
Suite à certains conseils ici, je viens de réessayer d'implémenter une solution d'accès à base d'OpenVPN. Ma question est à propos des certificats. Sachant que l'objectif est de fournir un certificat x509 valable un certain temps à chaque client nomade, comment gère-t-on la révocation de ces certificats (départ de la personne, etc...)? Peut-on utiliser la commande openssl pour cela ?
Oui: openssl ca -revoke certifarevoquer.pem openssl ca -gencrl
Tu récupères la CRL produite, et tu la places au bon endroit sur ton serveur OpenVPN (que tu as configuré pour vérifier la CRL, bien sûr).
Je crois avoir vérifié dans les sources d'OpenVPN que la vérification de la CRL à chaque authentification client relisait la CRL fournie en paramètre, plutôt que de la placer en cache (comme Apache+mod_ssl par exemple), ce qui est bien (ça évite de devoir redémarrer le daemon OpenVPN à chaque mise à jour de la CRL).
Attention, une CRL a elle aussi une durée de validité. Tu devras donc générer périodiquement la CRL, et la remettre au bon endroit.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- hier j ai sans le vouloirs j'ai envoyé un virus sur Internet qu'une personne mal intentionné m'avez donné pour tous . je leurs demande de m'excuser -+- RP in : GNU - Le retour du fils de la vengeance d'Henry -+-
