Probleme mit Certificate Revocation OpenVPN



  • Hallo zusammen,

    ich habe Probleme mit dem Sperren von OpenVPN-Clients mittels CRL.

    Ich habe über System - Cert Manager - Certificate Revocation eine CRL angelegt. Hier können ja dann die Zertifikate in die CRL aufgenommen und somit ungültig gemacht werden. (Ein Grund muss denke ich nicht angegeben werden)

    Anschließend habe ich über VPN - Server - Edit - Peer Certificate Revocation List die angelegte CRL ausgewählt.
    Mehr muss ich ja nicht konfigurieren oder?

    Zum Problem: Sobald nun ein Client (egal ob in der CRL oder nicht) eine Verbindung aufbauen möchte, stoppt der OpenVPN Dienst.
    Hier eine Zeile der Logs: Jan 15 09:57:10 openvpn[58314]: xxx.xxx.xxx.xxx:2368 CRL: cannot read CRL from file /var/etc/openvpn/server2.crl-verify
    Die Datei /var/etc/openvpn/server2.crl-verify ist leer und 0 Byte groß!

    Wir verwenden übrigens folgende Version: 2.0.1-RELEASE (amd64) | built on Mon Dec 12 18:43:51 EST 2011

    Ich hoffe, ihr könnt mir helfen.

    Gruß Speedy



  • Hat keiner ne Lösung…?



  • Hallo,

    es gab mal ein Problem, dass eine CRL nicht leer sein durfte. jimp hat das aber eigentlich gefixt.

    Du könntest einmal folgendes probieren, erstelle zur gleichen CA ein Textzertifikat und ziehe das in der CRL zurück.

    Dein Vorgehen ist ansonsten korrekt.
    CRL erstellen und Zertifikat hinzufügen - Grund ist nicht notwendig bzw. gibt es ja einen "default" Grund.

    Vielleicht hilft dieser Link:
    http://forum.pfsense.org/index.php/topic,36414.0.html



  • Hallo,

    das hilft mir leider nicht weiter.
    Ich denke aber, ich weis, woran es liegt.
    Laut diesem Post werden verschlüsselte Keys nicht unterstützt :-( http://forum.pfsense.org/index.php/topic,36369.msg189085.html#msg189085

    Wir setzen leider ausschließlich verschlüsselte Keys ein.
    Wisst ihr, ob es mittlerweile geplant ist, verschlüsselte Keys zu unterstützen? Ich bräuchte das dringend…

    Gruß Speedy



  • Hallo,

    also mir ist diesbezüglich nichts bekannt - vielleicht fragst du einfach in dem von dir genannten post kurz und fragst nach. Jimp ist der Mann, der bzgl. OpenVPN sehr viel entwickelt. Vielleicht hat er eine Lösung oder Idee.


Log in to reply