Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Probleme mit Certificate Revocation OpenVPN

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 2 Posters 1.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      speedy-luis
      last edited by

      Hallo zusammen,

      ich habe Probleme mit dem Sperren von OpenVPN-Clients mittels CRL.

      Ich habe über System - Cert Manager - Certificate Revocation eine CRL angelegt. Hier können ja dann die Zertifikate in die CRL aufgenommen und somit ungültig gemacht werden. (Ein Grund muss denke ich nicht angegeben werden)

      Anschließend habe ich über VPN - Server - Edit - Peer Certificate Revocation List die angelegte CRL ausgewählt.
      Mehr muss ich ja nicht konfigurieren oder?

      Zum Problem: Sobald nun ein Client (egal ob in der CRL oder nicht) eine Verbindung aufbauen möchte, stoppt der OpenVPN Dienst.
      Hier eine Zeile der Logs: Jan 15 09:57:10 openvpn[58314]: xxx.xxx.xxx.xxx:2368 CRL: cannot read CRL from file /var/etc/openvpn/server2.crl-verify
      Die Datei /var/etc/openvpn/server2.crl-verify ist leer und 0 Byte groß!

      Wir verwenden übrigens folgende Version: 2.0.1-RELEASE (amd64) | built on Mon Dec 12 18:43:51 EST 2011

      Ich hoffe, ihr könnt mir helfen.

      Gruß Speedy

      1 Reply Last reply Reply Quote 0
      • S
        speedy-luis
        last edited by

        Hat keiner ne Lösung…?

        1 Reply Last reply Reply Quote 0
        • N
          Nachtfalke
          last edited by

          Hallo,

          es gab mal ein Problem, dass eine CRL nicht leer sein durfte. jimp hat das aber eigentlich gefixt.

          Du könntest einmal folgendes probieren, erstelle zur gleichen CA ein Textzertifikat und ziehe das in der CRL zurück.

          Dein Vorgehen ist ansonsten korrekt.
          CRL erstellen und Zertifikat hinzufügen - Grund ist nicht notwendig bzw. gibt es ja einen "default" Grund.

          Vielleicht hilft dieser Link:
          http://forum.pfsense.org/index.php/topic,36414.0.html

          1 Reply Last reply Reply Quote 0
          • S
            speedy-luis
            last edited by

            Hallo,

            das hilft mir leider nicht weiter.
            Ich denke aber, ich weis, woran es liegt.
            Laut diesem Post werden verschlüsselte Keys nicht unterstützt :-( http://forum.pfsense.org/index.php/topic,36369.msg189085.html#msg189085

            Wir setzen leider ausschließlich verschlüsselte Keys ein.
            Wisst ihr, ob es mittlerweile geplant ist, verschlüsselte Keys zu unterstützen? Ich bräuchte das dringend…

            Gruß Speedy

            1 Reply Last reply Reply Quote 0
            • N
              Nachtfalke
              last edited by

              Hallo,

              also mir ist diesbezüglich nichts bekannt - vielleicht fragst du einfach in dem von dir genannten post kurz und fragst nach. Jimp ist der Mann, der bzgl. OpenVPN sehr viel entwickelt. Vielleicht hat er eine Lösung oder Idee.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.