Питань немає - це дійсно server-side, у мене питання - як форснути клієнта релоаднути CRL :)Привіт,
Якщо подивитися на імплементований стандарт, то там написано, що ревокейшн - це сервер-сайд процесс, про який клієнтам (проксі) не доповідають.
Технічно можна вимкнути (видалити, реплейснути) SCEP server і одразу увімкнути - це (можливо) зробить GetCRL. Цікаво подивитися що буде із сертами від цього сервера після вимкнення.
ну таке... там декілька десятків IPSec-сесій працюють :)
Написав в форум -
https://forum.mikrotik.com/viewtopic.php?t=196620 - може хтось
там в темі. Але, можливо, прибіжать розробники та почнуть мені
розповідати про те, що імплементований механізм - це єдине
правильне рішення. Приблизно як колись мене плющили про питання
за VTI, а за DMVPN взагалі мозок винесли, що це пропрієтарна
технологія Cisco й вони тут ні до чого :)
On 31/05/23 13:34, Volodymyr Litovka wrote:
Привіт,
ні, переключення crl-download yes->no->yes не даунлодить CRL.
А взагалі є якийсь опис цих грьобаних команд /certificate/settings ? Я шота не можу знайти жодного слова про це.
Дякую
On 5/25/23 2:09 pm, Volodymyr Garnyk wrote:
А якщо вимкнути/ввімкнути crl-download - він не перезавантажить одразу?
чт, 25 мая 2023 г. в 15:05, Volodymyr Litovka <doka@funlab.cc>:
_______________________________________________Привіт, та да, саме це я читав, здивувався й подумав - а ХЗ, може можна якось викрутитись.
Блядство, канєшн - ревокаєш компромайзед сертифікат й до години чекаєш, коли мікрот про це дізнається.
On 5/25/23 1:49 pm, Volodymyr Sharun wrote:
Привіт,
[admin@mikrotik] > /certificate/ settings/get
crl-download crl-store crl-use value-name
[admin@mikrotik] > /certificate/ settings/set crl-
crl-download crl-store crl-use
[admin@mikrotik] > /certificate/ settings/set crl-download=
no yes
[admin@mikrotik] > /certificate/ settings/set crl-store=
ram system
[admin@mikrotik] > /certificate/ settings/set crl-use=
no yes
То, що ти питаєш - хардкодед шняга.
Starting from v6rc10, CRL will be automatically renewed every hour for certificates which have "trusted=yes" using http protocol (ldap and ftp is currently unsupported). Segmented CRL is also currently unsupported.
On 25/05/23 14:12, Volodymyr Litovka wrote:
Привіт,
не зовсім розумію питання.
Є сторонній PKI, який підтримує CRL та експозить їх через HTTP
Є мікрот, який є VPN-сервером та перевіряє клієнтські серти на валідність за допомогою цього CRL
Ну й є клієнти, які конектяться до сервера
Задача полягає в тому, що коли я роблю revoke серту, то не чекати ще годину, доки сервер оновить цей CRL, а дати йому команду перечитати CRL з PKI
On 5/25/23 1:04 pm, Volodymyr Sharun wrote:
Привіт,
А хто клієнт цього CRL ? Це system-wide чи service-wide CRL (як own issue case) ?
On 25/05/23 13:45, Volodymyr Litovka wrote:
Привіт, питання є
мікрот оновлює CRL раз на годину. Чи є чарівна команда, щоб оновити CRL вручну? Щось я не знаходжу...
Дякую.
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison
uanog mailing list
uanog@uanog.kiev.ua
https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
--
Vladimir Garnick [nic-hdl: VG-RIPE, VG-UANIC]
-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison