Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Как запретить доступ скомпрометированно

    Scheduled Pinned Locked Moved Russian
    17 Posts 5 Posters 5.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      Сделать Reset States или перезагрузить pfsense. Или отключите OpenVPN.

      1 Reply Last reply Reply Quote 0
      • A
        alexandrnew
        last edited by

        а разве сертификат надо не в отозванные?

        1 Reply Last reply Reply Quote 0
        • T
          TR
          last edited by

          просто перезагрузка не помогает. По прежнему можно попасть при помощи удаленного скомпрометированного сертификата во внутреннюю сеть. Но вот вопрос - если я уже удалил сертификат, то как его поместить в список отозванных?

          1 Reply Last reply Reply Quote 0
          • D
            dvserg
            last edited by

            В Сертификат менеджере есть же процедура отзыва сертификата.

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • T
              TR
              last edited by

              @dvserg:

              В Сертификат менеджере есть же процедура отзыва сертификата.

              Конечно есть. Но я же самый умный! Я подумал, зачем мне выносить кому-то вотум недоверия, если я могу его расстрелять? И просто удалил сертификаты, которые у меня вызывали вопросы…
              А openVPN продолжает пропускать клиентов с ними :(
              И уже удаленный сертификат в список отозванных не включишь просто так.... Вот и думаю я горькую думу на тему - как плохо быть бестолковым...

              1 Reply Last reply Reply Quote 0
              • D
                dvserg
                last edited by

                Тогда нужно копать систему руками, где сертификаты лежат. Видно из списка удалилось, а в папке осталось.

                SquidGuardDoc EN  RU Tutorial
                Localization ru_PFSense

                1 Reply Last reply Reply Quote 0
                • T
                  TR
                  last edited by

                  @dvserg:

                  Тогда нужно копать систему руками, где сертификаты лежат. Видно из списка удалилось, а в папке осталось.

                  Попробовал через: Diagnostics: Execute command
                  find / -name CompromUserNameWhichITryToFind.* -ls

                  показывает как результат только саму команду, хотя должны быть туча Permission denied, насколько я понимаю ситуацию….

                  1 Reply Last reply Reply Quote 0
                  • D
                    dvserg
                    last edited by

                    А этот сертификат экспортнутый есть? В отзыве есть возможность его импорта.

                    SquidGuardDoc EN  RU Tutorial
                    Localization ru_PFSense

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Если сертификат используется в данный момент - вы его не удалите. Запись о нем - возможно, да, его физически - нет.

                      1 Reply Last reply Reply Quote 0
                      • A
                        alexandrnew
                        last edited by

                        dvserg
                        системе он не нужен в папке или еще где, у системы есть центральный сертификат, которым подписаны дочерние, подпись валидная
                        werter
                        его и не надо удалять, сертификат надо поместить в список недоверенных. копать надо в сторону certificate revoked list. Насколько помню там хранятся имена сертификатов, а не сами сертификаты.

                        • для начала -я бы по имени сертификата сделал юзерские настройки таковыми - что бы даже при подключении - толку от подключения небыло. Маршруты в никуда. обратную запись на левую сеть и тд.
                        1 Reply Last reply Reply Quote 0
                        • D
                          dvserg
                          last edited by

                          Я вчера облазил много чего, но кроме корневого сертификата следов отозванных не нашел. Возможно не то искал - фиг его знает.

                          системе он не нужен в папке или еще где, у системы есть центральный сертификат, которым подписаны дочерние, подпись валидная

                          Может тогда поступить кардинально? Сделать невалидным корневой (или удалить), создать новый и перевыпустить остальные на основе нового?

                          SquidGuardDoc EN  RU Tutorial
                          Localization ru_PFSense

                          1 Reply Last reply Reply Quote 0
                          • T
                            TR
                            last edited by

                            @dvserg:

                            А этот сертификат экспортнутый есть? В отзыве есть возможность его импорта.

                            Это мысль. Только на этом пути у нас появляется вопрос с форматом сертификатов:

                            В директории config клиента у нас есть файлы *.p12, *.key, *.ovpn. *.ovpn - файл описания конфигурации клиента, а p12 - в формате PKCS#12. И если о том, как преобразовать формат PKCS#12 и получить сертификат в формате X.509 PEM описано в https://www.pgpru.com/forum/kriptografija/sertifikatyderpemx509pkcs12, то в каком формате файл *.key и как преобразовать его? Я пока не понял…

                            1 Reply Last reply Reply Quote 0
                            • D
                              dvserg
                              last edited by

                              Нет не здесь.
                              В Revocation есть импорт

                              SquidGuardDoc EN  RU Tutorial
                              Localization ru_PFSense

                              1 Reply Last reply Reply Quote 0
                              • T
                                TR
                                last edited by

                                @dvserg:

                                Нет не здесь.
                                В Revocation есть импорт

                                А где? Я вижу только возможность добавить в список отозванных один из сертификатов из выпадающего списка и кнопку Add:

                                Загрузки сертификатов из файла я не вижу…

                                1 Reply Last reply Reply Quote 0
                                • D
                                  dvserg
                                  last edited by

                                  Я не работал плотно с сертификатами и возможно где-то ошибаюсь. Но вот как-то так.

                                  C1.png
                                  C1.png_thumb
                                  C2.png
                                  C2.png_thumb

                                  SquidGuardDoc EN  RU Tutorial
                                  Localization ru_PFSense

                                  1 Reply Last reply Reply Quote 0
                                  • O
                                    Option82 @TR
                                    last edited by

                                    @TR Столкнулся с проблемой по отзыву сертификатов описал здесь, может есть решение?

                                    1 Reply Last reply Reply Quote 0
                                    • First post
                                      Last post
                                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.