From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <naf@naf.net.ru>
Date: Fri, 3 Jun 2005 12:35:40 +0400
From: "Nikolay A. Fetisov" <naf@naf.net.ru>
To: community@altlinux.ru
Subject: Re: [Comm] =?KOI8-R?Q?=D3=CE=CF=D7=C1?= openvpn
Message-ID: <20050603123540.1c4a0602@naf177.naf.net.ru>
In-Reply-To: <83177974015.20050603111615@aston.ru>
References: <84105608125.20050602151010@aston.ru>
	<20050602181204.247ff709@naf177.naf.net.ru>
	<144171837375.20050603093358@aston.ru>
	<20050603102308.1e439064@naf177.naf.net.ru>
	<83177974015.20050603111615@aston.ru>
X-Mailer: Sylpheed-Claws 1.0.4 (GTK+ 1.2.10; i586-alt-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Fri, 03 Jun 2005 08:35:32 -0000
Archived-At: <http://lore.altlinux.org/community/20050603123540.1c4a0602@naf177.naf.net.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Fri, 3 Jun 2005 11:16:15 +0400
Roman V. Tutov wrote:


>   Если честно то я совсем запутался .
>   1 я создал корневой сертификат

Да - т.е. создали новую CA (Certification Authority, центр выдачи
сертификатов).

>   2 я создал сертификат клиента и его подписал корневым сертификатом

Да - создали клиентский сертификат, и экспортировали его и ключ для
передачи клиенту. Сам сертификат в CA остался.

>   3 пернес сертификат клиента и корневой сертификак на клиентскую
>   сторону .
> 
>   Все это у меня работает ....
> 
>   Далее что-бы отозвать сертификат нужно его иметь .

А он остался в CA, если Вы его специально не удалили.

>   Как я могу его отозвать если он перенесен на машину клиента ?

Пометить его в рамках CA как отозванный. Тогда во время экспорта списка
отзыва из CA он будет внесён туда как недействительный. Список отзыва -
CRL - ещё один файл .pem, указывается в настройках OpenVPN. При
соединении клиента OpenVPN просмотрит CRL, если сертификат клиента
помечен в нём как отозванный - соединение установлено не будет.

Более подробно можно почитать, например, в такой статье:
http://www.webscript.ru/stories/04/05/29/2604693
Правда, там механика работы с SSL дана в применении к HTTPS, но общие
идеи справедливы и для OpenVPN.


-- 
С уважением,	
Николай Фетисов