是否可以configurationOpenVPN使用包含允许的证书而不是证书撤销列表(CRL)的证书白名单用于不允许的证书?
问候,乔臣
您可以使用client-config-dir指定您希望允许的通用名称。 该文件的名称应该是你想允许的证书的CN,然后你写一个verify-cn脚本(我们工作的那个可能是由设置我们的OpenVPN的pipe理员写的,但是我确定有标准的那个),它检查提供的证书中的CN是否等于CCD目录中的文件。 告诉OpenVPN将其与tls-verify选项一起使用,并将script-security设置为2,以便verify-cn脚本可以运行,并且您离开了。
但是,这一切都不能否定对CRL的需求。 没有CRL,您将无法撤销客户证书的特定问题。 例如,如果他们现有的证书被破坏或丢失,并且他们被颁发了具有相同专有名称细节的新证书。
可以certificate,CRL比删除客户端的CCDconfiguration稍微安全一些,因为SSL检查是在链上进行的。