OpenVPN 证书白名单而不是 CRL？

Question

您可以使用client-config-dir来指定您希望允许的通用名称。文件的名称应该是您希望允许的证书的 CN，然后编写一个verify-cn脚本（我们工作中使用的脚本可能是由设置我们的 OpenVPN 的管理员编写的，但我确信那里有标准的脚本）来检查所提供证书中的 CN 是否等于 CCD 目录中的文件。告诉 OpenVPN 使用它以及选项tls-verify并设置script-security为 2，以便verify-cn可以运行脚本，然后您就可以离开了。

但是，这一切并不能消除 CRL 的必要性。如果没有 CRL，您将无法撤销客户端证书的特定问题。例如，如果他们现有的证书被盗用或丢失，并且他们获得了具有相同专有名称详细信息的新证书。

可以说，CRL 也比删除客户端的 CCD 配置稍微安全一些，因为 SSL 检查是在链的上游执行的。

Answer 1

您可以使用client-config-dir来指定您希望允许的通用名称。文件的名称应该是您希望允许的证书的 CN，然后编写一个verify-cn脚本（我们工作中使用的脚本可能是由设置我们的 OpenVPN 的管理员编写的，但我确信那里有标准的脚本）来检查所提供证书中的 CN 是否等于 CCD 目录中的文件。告诉 OpenVPN 使用它以及选项tls-verify并设置script-security为 2，以便verify-cn可以运行脚本，然后您就可以离开了。

但是，这一切并不能消除 CRL 的必要性。如果没有 CRL，您将无法撤销客户端证书的特定问题。例如，如果他们现有的证书被盗用或丢失，并且他们获得了具有相同专有名称详细信息的新证书。

可以说，CRL 也比删除客户端的 CCD 配置稍微安全一些，因为 SSL 检查是在链的上游执行的。

OpenVPN 证书白名单而不是 CRL？

答案1

相关内容