Доброго времени суток, уважаемые форумчане.
Хочу задать вопрос спецам по OpenVPN.
Тут такое дело: есть сервак с CentOS на котором установлен OpenVPN. По ВПН-у конектятся клиенты с виндозных машин для получения доступа к ресурсам локалки в офисе. Каждому новому сотруднику делаю ключ командой sh build-key (имя_ключа). Вроде всё замечательно, НО на днях возникла проблема с уволенными сотрудниками! Для того чтобы они не смогли получить доступ по ВПН-у мне нужно отозвать ключ.
Я делаю: sh revoke-full (имя_ранее_созданного_ключа). Вроде тоже всё нормально, процедура заканчивается строкой error 23 at 0 depth lookup:certificate revoked.
Но когда я беру этот самый отозванный ключик и пытаюсь подключиться... Что вы думаете? Подключается!!! Это теперь получается что все ранее отозванные ключики работают без проблем, и до одного места что я делал revoke-full что не делал...
Помогите мне, пожалуйста, решить эту проблему. Что ещё нужно сделать чтобы отозванные ключи не конектились?
Может где-то в каком-то конфиге нужно что-то раскомментировать?
Заранее благодарен каждому за предоставленные ответы.
>Может где-то в каком-то конфиге нужно что-то раскомментировать?openvpn.conf:
crl-verify /etc/openvpn/keys/crl.pem
>openvpn.conf:
>
>crl-verify /etc/openvpn/keys/crl.pemСпасибо, merzu.
Ну у меня этот конфиг называется server.conf, а лежит в /etc/openvpn. Вроде это он, да? Дело в том что не я устанавливал и делал конфиги впн-ки.
Следующий вопрос появляется автоматически: вот добавлю я эту строку в конфиг, то нужно будет каким-то образом "обновить" базу ключей? Или достаточно просто сделать /etc/init.d/openvpn restart ?
---
Сделал, строку добавил, перезапустил впн, но теперь никто не может законектиться...
Вот строка из лога на клиентской машине:
Sun Sep 19 01:57:46 2010 read UDPv4: Connection reset by peer (WSAECONNRESET) (code=10054)
Может я чёто не так сделал?
>мне нужно отозвать ключ.
>Я делаю: sh revoke-full (имя_ранее_созданного_ключа). Вроде тоже всё нормально, процедура заканчивается строкойТак же можно воспользоваться модулем к Webmin. Я знаю что его многие не любят, но тем не менее, когда надо передать управление каким либо сервисом другому человеку без зенания консоли, он незаменим.
Модуль для openvpn весьма удобен, и позволяет не только просто грохнуть уже ненужный ключик но и экспортировать в архив любой из существующих ключей.