У меня проблема с пониманием комбинации OpenVPN
с EasyRsa
.
Я прочитал эту инструкцию
Я не понимаю, как клиентские ключи подписывают и отзывают.
Когда я подписываюсь на сервере CA
для получения сертификата и ключей пользователя, сервер openVPN
определяет, что пользователь подписал свои сертификаты и ключи тем же сервером CA
, и позволяет пользователю подключаться?
Аналогично https
с доверенной сертификацией сервер (пример LetsEncrypt)
Верно?
Если я хочу заблокировать пользователю доступ к openVPN
, мне нужно отозвать сертификат на CA
сервере.
Но как openVPN
сервер будет понимать, что у этого пользователя больше нет прав на доступ openVPN
? Только с помощью дополнительного списка отзыва сертификатов?
То, что генерируется с easyrsa gen-crl
и синхронизируется / копируется с CA
сервера на openVPN
сервер?
Однако, если срок действия сертификата пользователя истек, то openVPN
сервер будет просто не принимаете соединение?
Я прав?