在 openvpn 中将证书列入白名单

Question 1

证书永远不能撤销！您应该生成一个新的证书，并将其提供给客户。

...但是，如果你愿意的话：

在您的 CA 文件夹中，应该有一个 index.txt，其中包含证书 ID。以“V”开头的证书有效，以“R”开头的证书已被撤销。您可以编辑该文件，将第一个字符修正为“V”，然后删除第三列（撤销日期）。如果您有多个证书，您应该会看到模式（序列号现在出现在第三列中，等等）。

然后您只需再次重新生成 CRL，它就可以工作了。

这是一个丑陋的黑客，...我仍然建议为客户端生成一个新的证书。

Answer

证书永远不能撤销！您应该生成一个新的证书，并将其提供给客户。

...但是，如果你愿意的话：

在您的 CA 文件夹中，应该有一个 index.txt，其中包含证书 ID。以“V”开头的证书有效，以“R”开头的证书已被撤销。您可以编辑该文件，将第一个字符修正为“V”，然后删除第三列（撤销日期）。如果您有多个证书，您应该会看到模式（序列号现在出现在第三列中，等等）。

然后您只需再次重新生成 CRL，它就可以工作了。

这是一个丑陋的黑客，...我仍然建议为客户端生成一个新的证书。

Question 2

尽管撤销切换根本不是一个好的做法，有一些特殊情况取消撤销一个钥匙（就像撤消) 可能会有用。

最糟糕的情况：CRT 可能绝不是删除而不是非常具体的情况，比如学习。最后，你可能会看到我如何删除最后一个索引条目（作为撤消行动）。

取消撤销

unrevoke这是我写的一个小脚本。

因为这不是一个标准功能中，我添加了一种日志文件，称为unrevoke.txt，采用 ASCII 格式并重用索引.txt（制表符分隔）：

U | Revocation date | Unrevocation date | Id | unknown | Subject

警告：它可以满足我的需要，但你必须在常规使用前对它们进行测试！

#!/bin/bash

# un-revoke a certificate, regenerate CRL,
# and verify revocation status

CRL=crl.pem

if test $# -ne 1; then
    echo "usage: unrevoke <name|idx>";
    exit 1
fi

if test $KEY_DIR; then
    cd $KEY_DIR
    read issuer < <(openssl x509 -issuer -noout -in $KEY_DIR/ca.crt)
    issuer=${issuer#*CN=}
    issuer=${issuer%%/*}
    export KEY_CN=$issuer KEY_OU=$issuer KEY_NAME=$issuer

    if [ -f $1.crt ] ;then
        NAM=$1
    REV=($(sed -ne <index.txt "s/^R\t[^\t]*\t\([0-9]\+Z\)\t\([0-9A-F]\{2,8\}\)\tunknown\t\(.*CN=$1\/.*\)$/\1 \2 \3/p"))
        IDX=${REV[1]}
        SUB="${REV[@]:2}"
    else
        if [ -f $1.pem ] ;then
            IDX=$1
            REV=($(sed -ne <index.txt "s/^R\t[^\t]*\t\([0-9]\+Z\)\t$1\tunknown\t\(.*CN=\([^\/]\+\)\/.*\)$/\1 \3 \2/p"))
            NAM=${REV[1]}
            SUB="${REV[@]:2}"
        fi
    fi
    CRT=$IDX.pem
    if [ -f $CRT ] && [ "$NAM" ] && [ "$IDX" ] ;then
        printf "Key idx: %s, name: %s\n" $IDX $NAM
    else
        echo Key $1 not found.
        exit 1
    fi

    DTE=$(date +"%y%m%d%H%M%SZ")
    # unrevoke key
    sed -e "s/^R\t\([0-9]\+Z\)\t[0-9]\+Z\t$IDX\t/V\t\1\t\t$IDX\t/" -i.old index.txt &&
        printf "U\t%s\t%s\t%s\tunknown\t%s\n" $REV $DTE $IDX "$SUB" >>unrevoke.txt

    # generate a new CRL
    openssl ca -gencrl -out $CRL -config $KEY_CONFIG

    # verify the revocation
    openssl verify -CAfile <(cat ca.crt $CRL) -crl_check $CRT
else
    echo you must define KEY_DIR
fi

删除最后一项

仅供参考！！：关键在于绝不被删除以允许他撤销！

#!/bin/bash
# For info only!!
# key as to NEVER be deleted
# for making a correct revocation liste
#
# Don't use it unless you're sure you know what you're doing!!!

cd $KEY_DIR || exit 1

mapfile index <index.txt
OIFS="$IFS"
IFS=$'\t'
line=(${index[${#index[@]}-1]})
IFS="$OIFS"
if [ "$line" == "V" ] ;then
    idx=${line[2]}
    nam=${line[4]#*CN=}
else
    idx=${line[3]}
    nam=${line[5]#*CN=}
fi
nam=${nam%%/*}
rm -v $nam.* $idx.*
unset index[${#index[@]}-1]
cat index.txt >index.txt.old 
printf "%s" "${index[@]}" >index.txt
cat serial >serial.old 
echo ${line[2]} >serial

Answer

尽管撤销切换根本不是一个好的做法，有一些特殊情况取消撤销一个钥匙（就像撤消) 可能会有用。

最糟糕的情况：CRT 可能绝不是删除而不是非常具体的情况，比如学习。最后，你可能会看到我如何删除最后一个索引条目（作为撤消行动）。

取消撤销

unrevoke这是我写的一个小脚本。

因为这不是一个标准功能中，我添加了一种日志文件，称为unrevoke.txt，采用 ASCII 格式并重用索引.txt（制表符分隔）：

U | Revocation date | Unrevocation date | Id | unknown | Subject

警告：它可以满足我的需要，但你必须在常规使用前对它们进行测试！

#!/bin/bash

# un-revoke a certificate, regenerate CRL,
# and verify revocation status

CRL=crl.pem

if test $# -ne 1; then
    echo "usage: unrevoke <name|idx>";
    exit 1
fi

if test $KEY_DIR; then
    cd $KEY_DIR
    read issuer < <(openssl x509 -issuer -noout -in $KEY_DIR/ca.crt)
    issuer=${issuer#*CN=}
    issuer=${issuer%%/*}
    export KEY_CN=$issuer KEY_OU=$issuer KEY_NAME=$issuer

    if [ -f $1.crt ] ;then
        NAM=$1
    REV=($(sed -ne <index.txt "s/^R\t[^\t]*\t\([0-9]\+Z\)\t\([0-9A-F]\{2,8\}\)\tunknown\t\(.*CN=$1\/.*\)$/\1 \2 \3/p"))
        IDX=${REV[1]}
        SUB="${REV[@]:2}"
    else
        if [ -f $1.pem ] ;then
            IDX=$1
            REV=($(sed -ne <index.txt "s/^R\t[^\t]*\t\([0-9]\+Z\)\t$1\tunknown\t\(.*CN=\([^\/]\+\)\/.*\)$/\1 \3 \2/p"))
            NAM=${REV[1]}
            SUB="${REV[@]:2}"
        fi
    fi
    CRT=$IDX.pem
    if [ -f $CRT ] && [ "$NAM" ] && [ "$IDX" ] ;then
        printf "Key idx: %s, name: %s\n" $IDX $NAM
    else
        echo Key $1 not found.
        exit 1
    fi

    DTE=$(date +"%y%m%d%H%M%SZ")
    # unrevoke key
    sed -e "s/^R\t\([0-9]\+Z\)\t[0-9]\+Z\t$IDX\t/V\t\1\t\t$IDX\t/" -i.old index.txt &&
        printf "U\t%s\t%s\t%s\tunknown\t%s\n" $REV $DTE $IDX "$SUB" >>unrevoke.txt

    # generate a new CRL
    openssl ca -gencrl -out $CRL -config $KEY_CONFIG

    # verify the revocation
    openssl verify -CAfile <(cat ca.crt $CRL) -crl_check $CRT
else
    echo you must define KEY_DIR
fi

删除最后一项

仅供参考！！：关键在于绝不被删除以允许他撤销！

#!/bin/bash
# For info only!!
# key as to NEVER be deleted
# for making a correct revocation liste
#
# Don't use it unless you're sure you know what you're doing!!!

cd $KEY_DIR || exit 1

mapfile index <index.txt
OIFS="$IFS"
IFS=$'\t'
line=(${index[${#index[@]}-1]})
IFS="$OIFS"
if [ "$line" == "V" ] ;then
    idx=${line[2]}
    nam=${line[4]#*CN=}
else
    idx=${line[3]}
    nam=${line[5]#*CN=}
fi
nam=${nam%%/*}
rm -v $nam.* $idx.*
unset index[${#index[@]}-1]
cat index.txt >index.txt.old 
printf "%s" "${index[@]}" >index.txt
cat serial >serial.old 
echo ${line[2]} >serial

在 openvpn 中将证书列入白名单

答案1

答案2

取消撤销

删除最后一项

相关内容