OpenVPN客户自签证书，撤销在其他地方？

Question

我陷入了一个非常混乱的境地：

1. 我在服务器A上生成了一个客户端自签名证书，服务器A是CA.
2. 然后，我将自签名证书(.crt，.key)复制到服务器B，服务器B本身也是一个CA。
3. 我开始在服务器B上使用这个自签名的证书，它起了作用，所以之后我没有想太多。

现在，我需要撤销这个自签名证书，但是我不能在服务器B上(它抱怨“名称不匹配”)。我已经设法在服务器A上撤销了它，服务器A签署了它，但是我如何让服务器B知道这个证书确实已经被撤销了呢？

我试着把被撤销的证书复制到服务器B上但是它不起作用.

平台：

• 服务器A: Ubuntu服务器10.10，openssl版本0.9.8o
• 服务器B: CentOS 4.4，openssl版本0.9.7a

如果还有什么我可以提供的请告诉我。

希望我的解释是有意义的，如果没有，请给我留言。任何帮助都是非常感谢的！

Answer 1

您必须将服务器和客户端证书从A复制到B，如果相同的客户端证书在向B进行身份验证时仍然有效，难道不是吗？如果您只移动客户端证书，而不是服务器证书，但仍然可以使用来自A的客户端证书对B进行身份验证，则必须在A和B上具有相同的CA。

您不需要将已撤销的证书复制到B，只需将证书添加到B的吊销列表中即可。通常，只要服务器和客户端证书由同一个CA签名，身份验证就会继续进行。吊销通过将条目添加到文本文件来工作。当您使用证书进行身份验证时，OpenVPN将检查您的证书吊销列表(CRL)，以查看证书是否已被撤销。你不能对实际的证书做任何修改。