Bug 31115 - отсутствует скрипт revoke-full
Summary: отсутствует скрипт revoke-full
Status: CLOSED NOTABUG
Alias: None
Product: Sisyphus
Classification: Development
Component: openvpn (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Nikolay A. Fetisov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks: 31124
  Show dependency tree
 
Reported: 2015-07-01 18:35 MSK by Michael Shigorin
Modified: 2015-07-03 12:47 MSK (History)
1 user (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Michael Shigorin 2015-07-01 18:35:00 MSK
В https://openvpn.net/index.php/open-source/documentation/howto.html упоминается скрипт revoke-full для отзыва сертификатов, он не входит в пакет.  Просьба добавить.
Comment 1 Nikolay A. Fetisov 2015-07-01 20:12:52 MSK
revoke-full отноcится к набору скриптов easy-rsa.

С версии OpenVPN 2.3 easy-rsa считается отдельным проектов и в OpenVPN больше
не входит. Что, в целом, правильно - это набор утилит управления Certification Authority, и с OpenVPN можно применять и другие варианты.

Отдельно добавлять revoke-full в пакет с OpenVPN бессмысленно: для создания
revocation list как минимум нужен целиком CA с закрытым ключом самого CA для
подписи списка отзыва. Место же CA - где-то в стороне на доверенной системе, а не на сервере с OpenVPN.

Кроме того, есть вариант блокировки отдельных клиентов без отзыва их 
сертитификатов - через client-config-dir / ccd-exclusive .



Сам easy-rsa в Sisyphus есть - http://sisyphus.ru/ru/srpm/Sisyphus/easy-rsa
Comment 2 Michael Shigorin 2015-07-02 13:57:01 MSK
Действительно; спасибо и прошу прощения за шум.