Я работаю в промышленной среде. На каждой производственной линии у нас есть компьютер для мониторинга. Каждый пользователь этих компьютеров должен иметь доступ к серверу Ubuntu, расположенному в Azure. Для этого я решил использовать Openvpn.
Для подключения к песочнице я запускаю сервис Openvpn для каждого компьютера, поэтому в настоящее время у меня запущено около 200 камер openvpn.
Каждая камера использует свой собственный порт TCP и имеет собственную систему CA и PKI.
Это работает хорошо, но недавно мы решили подписать каждую палату сертификатом, полученным от нашего ИТ-отдела.
Цепочка сертификации:
IT Root CA
|
My Intermediate CA
| |
Chamber 1 CA port:5000 Chamber 2 CA port:5001
| | | |
server _________|_______ server _______|_______
| | | | | | | |
user1 user2 user3 user4 user1 user2 user3 user4
Аутентификация теперь работает хорошо, но у меня проблема с отзывом сертификата.
Для нашей нужды нас могут заставить отозвать Палату СА. Проблема в том, что для openvpn цепочка сертификации по-прежнему действительна, поскольку она проверяет только CRL камеры, а не CRL моего промежуточного CA.
Google помог мне найти опцию --capath для этого случая. Однако после нескольких соблазнов я должен признаться, что не могу найти хороший способ его использовать.
источники: https://sourceforge.net/p/openvpn/mailman/message/31121285/