Можно ли настроить OpenVPN для использования белого списка сертификатов, который содержит разрешенные сертификаты вместо списка отзыва сертификатов (CRL) для запрещенных сертификатов?
С уважением, Йохен
Ты можешь использовать client-config-dir чтобы указать общие имена, которые вы хотите разрешить. Имя файла должно быть CN сертификата, который вы хотите разрешить, а затем вы пишете verify-cn скрипт (тот, который у нас есть, вероятно, был написан администратором, который настраивал наш OpenVPN, но я уверен, что есть стандартные), который проверяет, соответствует ли CN в представленном сертификате файлу в каталоге CCD. Скажите OpenVPN использовать его с tls-verify вариант и набор script-security до 2, так что verify-cn скрипт можно запустить, и ты далеко.
Однако все это не отменяет необходимости в CRL. Без CRL вы не сможете отозвать конкретный выпуск сертификата клиента. Например, если их существующий сертификат был скомпрометирован или утерян, и им был выдан новый сертификат с теми же данными отличительного имени.
Возможно, CRL также немного более безопасен, чем удаление конфигурации CCD клиента, потому что проверка SSL выполняется дальше по цепочке.