openvpn 2.x - wideruffene (revoked) Zertifikate wieder aktivieren?

k33n

knochenbrecher
hallo,
ich hab hier grad mal mit openvpn rumgespielt und hab ein kleines problem.
wen ich ein zertfikat mit
Code:
 openssl ca -revoke $1.crt -config $KEY_CONFIG
"revoke" funktioniert das einwandfrei.

wie aber reaktiviere ich ein so wiederufenes zertifikat?

jemand ne idee?

gruss k33n
 
Last edited:
Der Sinn von revoke ist ein Zertifikat für immer und ewig für ungültig zu erklären.
 
k33n said:
hallo,
und wie deaktiviere ich ein zertifikat temporär?

k33n

oifach in die CRL als ungültig aufnehmen, dann isses nimmer gültig, vorausgesetzt der OpenVPN Server nutzt die CRL Prüfung auch in der Konfiguration. Wenn das Zertifikat wieder gültig sein soll einfach die vorherige CRL (wo es noch nicht widerrufen war) wieder dem OpenVPN unterjubeln. Das ist natürlich keine sinnvolle Lösung aber technisch gehts. (vorausgesetzt man kann die Zertifikatsdatenbank verdrillen)

In der Praxis würde man das Zertifikat dauerhaft widerrufen wenn es nicht mehr gültig sein soll und später ein neues Zertifikat erstellen, die Zertifikatsdatenbank updaten, die CRL neu erstellen und das neu erstellte Zertifikat dem Client auf einem sicheren Weg zugänglich machen. Das alte Zertifikat ist natürlich dann für immer ungültig. Das neue Zertifikat kann für den Zugang jedoch sofort wieder benutzt werden.

Am einfachsten 'spielen' kann man, wenn man sich mittels perl-Script z.B. eine Zertifikatsdatenbank baut, welche man manuell auch editieren kann. So kann man Einfluss nehmen, welche Zertifikate als gültig / widerrufen in die CRL mit einfliessen.

Gruß Bummibaer
 
Back
Top