?

Log in

No account? Create an account
Cat-light

klink0v


Блохи в свитере деда Сергеича


Упражнение с OpenSSL
Cat-light
klink0v

Имеется OpenVPN-сервер с авторизацией клиентов по X509-сертификатам. Пресловутые сертификаты генерируются при помощи скриптов из комплекта EasyRSA и централизованно складываются в некую папку (это поведение EasyRSA по умолчанию). Если прошляпать момент, когда какой-то из клиентских сертификатов протухает, и не сгенерировать ему свеженький, то потом из-за этого творится много попа-боли. Начиная от того, что надо как-то попасть на клиентское устройство минуя NAT и Firewall-ы, заканчивая лучами поноса от пользователя, которому надо типа "срочно-срочно".

Способ решения: хорошо бы самостоятельно своевременно отслеживать предстоящее ещё не свершившееся скорое протухание клиентских сертификатов.

Под катом сам скриптCollapse )