Как запретить доступ скомпрометированно
-
Сделать Reset States или перезагрузить pfsense. Или отключите OpenVPN.
-
а разве сертификат надо не в отозванные?
-
просто перезагрузка не помогает. По прежнему можно попасть при помощи удаленного скомпрометированного сертификата во внутреннюю сеть. Но вот вопрос - если я уже удалил сертификат, то как его поместить в список отозванных?
-
В Сертификат менеджере есть же процедура отзыва сертификата.
-
В Сертификат менеджере есть же процедура отзыва сертификата.
Конечно есть. Но я же самый умный! Я подумал, зачем мне выносить кому-то вотум недоверия, если я могу его расстрелять? И просто удалил сертификаты, которые у меня вызывали вопросы…
А openVPN продолжает пропускать клиентов с ними :(
И уже удаленный сертификат в список отозванных не включишь просто так.... Вот и думаю я горькую думу на тему - как плохо быть бестолковым... -
Тогда нужно копать систему руками, где сертификаты лежат. Видно из списка удалилось, а в папке осталось.
-
Тогда нужно копать систему руками, где сертификаты лежат. Видно из списка удалилось, а в папке осталось.
Попробовал через: Diagnostics: Execute command
find / -name CompromUserNameWhichITryToFind.* -lsпоказывает как результат только саму команду, хотя должны быть туча Permission denied, насколько я понимаю ситуацию….
-
А этот сертификат экспортнутый есть? В отзыве есть возможность его импорта.
-
Если сертификат используется в данный момент - вы его не удалите. Запись о нем - возможно, да, его физически - нет.
-
dvserg
системе он не нужен в папке или еще где, у системы есть центральный сертификат, которым подписаны дочерние, подпись валидная
werter
его и не надо удалять, сертификат надо поместить в список недоверенных. копать надо в сторону certificate revoked list. Насколько помню там хранятся имена сертификатов, а не сами сертификаты.- для начала -я бы по имени сертификата сделал юзерские настройки таковыми - что бы даже при подключении - толку от подключения небыло. Маршруты в никуда. обратную запись на левую сеть и тд.
-
Я вчера облазил много чего, но кроме корневого сертификата следов отозванных не нашел. Возможно не то искал - фиг его знает.
системе он не нужен в папке или еще где, у системы есть центральный сертификат, которым подписаны дочерние, подпись валидная
Может тогда поступить кардинально? Сделать невалидным корневой (или удалить), создать новый и перевыпустить остальные на основе нового?
-
А этот сертификат экспортнутый есть? В отзыве есть возможность его импорта.
Это мысль. Только на этом пути у нас появляется вопрос с форматом сертификатов:
В директории config клиента у нас есть файлы *.p12, *.key, *.ovpn. *.ovpn - файл описания конфигурации клиента, а p12 - в формате PKCS#12. И если о том, как преобразовать формат PKCS#12 и получить сертификат в формате X.509 PEM описано в https://www.pgpru.com/forum/kriptografija/sertifikatyderpemx509pkcs12, то в каком формате файл *.key и как преобразовать его? Я пока не понял… -
Нет не здесь.
В Revocation есть импорт -
Нет не здесь.
В Revocation есть импортА где? Я вижу только возможность добавить в список отозванных один из сертификатов из выпадающего списка и кнопку Add:
Загрузки сертификатов из файла я не вижу… -
Я не работал плотно с сертификатами и возможно где-то ошибаюсь. Но вот как-то так.
-
