Здравствуйте, уважаемые форумчане! Прошу вашей помощи в таком вопросе.
Сервер openvpn на ОС centos.
Стоит задача закрыть доступ в сеть бывшему сотруднику, у которого имеются дома все сертификаты. Есть множество рабочих станций, то есть перебивать всем сертификаты нереально. Подскажите, что можно сделать.
> Здравствуйте, уважаемые форумчане! Прошу вашей помощи в таком вопросе.
> Сервер openvpn на ОС centos.
> Стоит задача закрыть доступ в сеть бывшему сотруднику, у которого имеются дома
> все сертификаты. Есть множество рабочих станций, то есть перебивать всем сертификаты
> нереально. Подскажите, что можно сделать.Если у него есть _все_ сертификаты и _все_ приватные ключи к ним, то никак.
Если у него есть 1 _его_ приватный ключ, то:
создать ccd - файл по имени сертификата, в нем прописать disable (если не ошибаюсь с ключевым словом).
Может быть подойдет вариант с ограничением доступа только по указанным IP адресам из сети?
>> Здравствуйте, уважаемые форумчане! Прошу вашей помощи в таком вопросе.
>> Сервер openvpn на ОС centos.
>> Стоит задача закрыть доступ в сеть бывшему сотруднику, у которого имеются дома
>> все сертификаты. Есть множество рабочих станций, то есть перебивать всем сертификаты
>> нереально. Подскажите, что можно сделать.
> Если у него есть _все_ сертификаты и _все_ приватные ключи к ним,
> то никак.
> Если у него есть 1 _его_ приватный ключ, то:
> создать ccd - файл по имени сертификата, в нем прописать disable (если
> не ошибаюсь с ключевым словом).А с какого перепугу у него должны быть все ключи? Ниразу такого не встречал. У него д.б. только его ключи. Что бы отозвать его ключ имеется процедура ревокейшена.
Читать тут http://openvpn.net/index.php/open-source/documentation/howto...
> А с какого перепугу у него должны быть все ключи?Ну мало ли :-)) Всякое бывает
> Ниразу такого не встречал.Это не означает, что такого не бывает :-)
>У него д.б. только его ключи.
Должны .... ))))
> Что бы отозвать его ключ имеется процедура ревокейшена.
> Читать тут http://openvpn.net/index.php/open-source/documentation/howto...
> А с какого перепугу у него должны быть все ключи?
> Ниразу такого не встречал. У него д.б. только его ключи. Что
> бы отозвать его ключ имеется процедура ревокейшена.
> Читать тут http://openvpn.net/index.php/open-source/documentation/howto...ну может он админ, который все эти ключи выдавал
отозвать его сертификат (CRL) ?
> отозвать его сертификат (CRL) ?Если у него есть все сертификаты, включая корневой, то отзыв не поможет, он просто нагенерит себе новых, в этом случае поможет только замена всех сертификатов
> Стоит задача закрыть доступ в сеть бывшему сотруднику, у которого имеются дома
> все сертификаты. Есть множество рабочих станций, то есть перебивать всем сертификатыВсе "сертификаты" - это действительно все-все? Вообще-то для соединеия, насколько я слышал, нужны _ключи_. Если у него нет _ключей_, то зря беспокоишься.
----
Если-тки _ключи ЦА и _ключи всех пользователей, то... [звуки сирен, метронома]
Объявить _все_ ключи скомпрометированными, сгенерировать новые на сервере и ЦА, _все_ известные ключи -> в CRL, выдавать всем пользователям сертификаты (на _новые, не в CRL!) по предъявлению паспорта и справки из вет.диспансера, под расписку об ознакомлении с карами по ТК и УК в случае умышленной компрометации или недоносительстве об.Как закончишь, выдастся свободная минутка-другая, садись писать регламенты и должностные инструкции. Ну, можешь попросить помощи в ^^-этом у службы безопасности.