gestión de PKI con easy-rsa

Navega tus respuestas
2

Recientemente instalé un servidor OpenVPN con easy-rsa y tengo preguntas sobre la revocación de certificados:

En caso de que la clave privada de alguien se vea comprometida y tenga que revocar el certificado con revoke-full , ¿necesito mantener el .crt/.csr/.key revocado en el servidor?

Lo pregunto porque estoy usando el nombre completo del propietario del certificado como el nombre del certificado y me preguntaba cómo generaría un nuevo certificado con el mismo nombre si ya hay un certificado (revocado) con ese nombre.

    
pregunta Starfox64 12.12.2015 - 21:07
fuente

1 respuesta

1

No, easy-rsa no requiere que mantengas certificados revocados. La única razón por la que se me ocurre mantenerlos es tener algún tipo de registro de auditoría de los pobres.

Solo asegúrate de revocar el certificado antes de eliminarlo, porque easy-rsa (al menos la versión 2, que analicé) parece requerir que el archivo .crt esté presente para revocar un certificado.

Además, si aún está en el proceso de configurar su pki, considere cambiar a easy-rsa 3. Es una reescritura completa, que agrega una serie de características interesantes como el soporte ECDSA.

    
respondido por el Steffan Karger 14.12.2015 - 20:28
fuente

Lea otras preguntas en las etiquetas

¿Es VPN la única forma de impedir que mi ISP registre mi tráfico? Implicaciones de seguridad de la clave de la API de Dropbox expuesta y el secreto