Привіт, не зовсім розумію питання. Є сторонній PKI, який підтримує CRL та експозить їх через HTTP Є мікрот, який є VPN-сервером та перевіряє клієнтські серти на валідність за допомогою цього CRL Ну й є клієнти, які конектяться до сервера Задача полягає в тому, що коли я роблю revoke серту, то не чекати ще годину, доки сервер оновить цей CRL, а дати йому команду перечитати CRL з PKI On 5/25/23 1:04 pm, Volodymyr Sharun wrote:

Привіт,

А хто клієнт цього CRL ? Це system-wide чи service-wide CRL (як own issue case) ?

On 25/05/23 13:45, Volodymyr Litovka wrote:

...

Привіт, питання є

мікрот оновлює CRL раз на годину. Чи є чарівна команда, щоб оновити CRL вручну? Щось я не знаходжу...

Дякую.

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

Привіт, та да, саме це я читав, здивувався й подумав - а ХЗ, може можна якось викрутитись. Блядство, канєшн - ревокаєш компромайзед сертифікат й до години чекаєш, коли мікрот про це дізнається. On 5/25/23 1:49 pm, Volodymyr Sharun wrote:

Привіт,

[admin@mikrotik] > /certificate/ settings/get crl-download  crl-store  crl-use  value-name [admin@mikrotik] > /certificate/ settings/set crl- crl-download  crl-store  crl-use [admin@mikrotik] > /certificate/ settings/set crl-download= no  yes [admin@mikrotik] > /certificate/ settings/set crl-store= ram  system [admin@mikrotik] > /certificate/ settings/set crl-use= no  yes

То, що ти питаєш - хардкодед шняга.

Starting from v6rc10, CRL will be automatically renewed every hour for certificates which have "trusted=yes" using http protocol (ldap and ftp is currently unsupported). Segmented CRL is also currently unsupported.

On 25/05/23 14:12, Volodymyr Litovka wrote:

...

Привіт,

не зовсім розумію питання.

Є сторонній PKI, який підтримує CRL та експозить їх через HTTP

Є мікрот, який є VPN-сервером та перевіряє клієнтські серти на валідність за допомогою цього CRL

Ну й є клієнти, які конектяться до сервера

Задача полягає в тому, що коли я роблю revoke серту, то не чекати ще годину, доки сервер оновить цей CRL, а дати йому команду перечитати CRL з PKI

On 5/25/23 1:04 pm, Volodymyr Sharun wrote:

...

Привіт,

А хто клієнт цього CRL ? Це system-wide чи service-wide CRL (як own issue case) ?

On 25/05/23 13:45, Volodymyr Litovka wrote:

...

Привіт, питання є

мікрот оновлює CRL раз на годину. Чи є чарівна команда, щоб оновити CRL вручну? Щось я не знаходжу...

Дякую.

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

Привіт, ні, переключення crl-download yes->no->yes не даунлодить CRL. А взагалі є якийсь опис цих грьобаних команд /certificate/settings ? Я шота не можу знайти жодного слова про це. Дякую On 5/25/23 2:09 pm, Volodymyr Garnyk wrote:

А якщо вимкнути/ввімкнути crl-download - він не перезавантажить одразу?

чт, 25 мая 2023 г. в 15:05, Volodymyr Litovka :

Привіт, та да, саме це я читав, здивувався й подумав - а ХЗ, може можна якось викрутитись.

Блядство, канєшн - ревокаєш компромайзед сертифікат й до години чекаєш, коли мікрот про це дізнається.

On 5/25/23 1:49 pm, Volodymyr Sharun wrote:

...

Привіт,

[admin@mikrotik] > /certificate/ settings/get crl-download  crl-store  crl-use  value-name [admin@mikrotik] > /certificate/ settings/set crl- crl-download  crl-store  crl-use [admin@mikrotik] > /certificate/ settings/set crl-download= no  yes [admin@mikrotik] > /certificate/ settings/set crl-store= ram  system [admin@mikrotik] > /certificate/ settings/set crl-use= no  yes

То, що ти питаєш - хардкодед шняга.

Starting from v6rc10, CRL will be automatically renewed every hour for certificates which have "trusted=yes" using http protocol (ldap and ftp is currently unsupported). Segmented CRL is also currently unsupported.

On 25/05/23 14:12, Volodymyr Litovka wrote:

...

Привіт,

не зовсім розумію питання.

Є сторонній PKI, який підтримує CRL та експозить їх через HTTP

Є мікрот, який є VPN-сервером та перевіряє клієнтські серти на валідність за допомогою цього CRL

Ну й є клієнти, які конектяться до сервера

Задача полягає в тому, що коли я роблю revoke серту, то не чекати ще годину, доки сервер оновить цей CRL, а дати йому команду перечитати CRL з PKI

On 5/25/23 1:04 pm, Volodymyr Sharun wrote:

...

Привіт,

А хто клієнт цього CRL ? Це system-wide чи service-wide CRL (як own issue case) ?

On 25/05/23 13:45, Volodymyr Litovka wrote:

...

Привіт, питання є

мікрот оновлює CRL раз на годину. Чи є чарівна команда, щоб оновити CRL вручну? Щось я не знаходжу...

Дякую.

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Vladimir Garnick [nic-hdl: VG-RIPE, VG-UANIC]

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

On 5/31/23 12:54 pm, Volodymyr Sharun wrote:

Привіт,

Якщо подивитися на імплементований стандарт, то там написано, що ревокейшн - це сервер-сайд процесс, про який клієнтам (проксі) не доповідають.

Питань немає - це дійсно server-side, у мене питання - як форснути _*клієнта*_ релоаднути CRL :)

Технічно можна вимкнути (видалити, реплейснути) SCEP server і одразу увімкнути - це (можливо) зробить GetCRL. Цікаво подивитися що буде із сертами від цього сервера після вимкнення.

ну таке... там декілька десятків IPSec-сесій працюють :) Написав в форум - https://forum.mikrotik.com/viewtopic.php?t=196620 - може хтось там в темі. Але, можливо, прибіжать розробники та почнуть мені розповідати про те, що імплементований механізм - це єдине правильне рішення. Приблизно як колись мене плющили про питання за VTI, а за DMVPN взагалі мозок винесли, що це пропрієтарна технологія Cisco й вони тут ні до чого :)

On 31/05/23 13:34, Volodymyr Litovka wrote:

...

Привіт,

ні, переключення crl-download yes->no->yes не даунлодить CRL.

А взагалі є якийсь опис цих грьобаних команд /certificate/settings ? Я шота не можу знайти жодного слова про це.

Дякую

On 5/25/23 2:09 pm, Volodymyr Garnyk wrote:

...

А якщо вимкнути/ввімкнути crl-download - він не перезавантажить одразу?

чт, 25 мая 2023 г. в 15:05, Volodymyr Litovka :

Привіт, та да, саме це я читав, здивувався й подумав - а ХЗ, може можна якось викрутитись.

Блядство, канєшн - ревокаєш компромайзед сертифікат й до години чекаєш, коли мікрот про це дізнається.

On 5/25/23 1:49 pm, Volodymyr Sharun wrote:

...

Привіт,

[admin@mikrotik] > /certificate/ settings/get crl-download  crl-store  crl-use  value-name [admin@mikrotik] > /certificate/ settings/set crl- crl-download  crl-store  crl-use [admin@mikrotik] > /certificate/ settings/set crl-download= no  yes [admin@mikrotik] > /certificate/ settings/set crl-store= ram  system [admin@mikrotik] > /certificate/ settings/set crl-use= no  yes

То, що ти питаєш - хардкодед шняга.

Starting from v6rc10, CRL will be automatically renewed every hour for certificates which have "trusted=yes" using http protocol (ldap and ftp is currently unsupported). Segmented CRL is also currently unsupported.

On 25/05/23 14:12, Volodymyr Litovka wrote:

...

Привіт,

не зовсім розумію питання.

Є сторонній PKI, який підтримує CRL та експозить їх через HTTP

Є мікрот, який є VPN-сервером та перевіряє клієнтські серти на валідність за допомогою цього CRL

Ну й є клієнти, які конектяться до сервера

Задача полягає в тому, що коли я роблю revoke серту, то не чекати ще годину, доки сервер оновить цей CRL, а дати йому команду перечитати CRL з PKI

On 5/25/23 1:04 pm, Volodymyr Sharun wrote:

...

Привіт,

А хто клієнт цього CRL ? Це system-wide чи service-wide CRL (як own issue case) ?

On 25/05/23 13:45, Volodymyr Litovka wrote: > Привіт, питання є > > мікрот оновлює CRL раз на годину. Чи є чарівна команда, щоб > оновити CRL вручну? Щось я не знаходжу... > > Дякую. >

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Vladimir Garnick [nic-hdl: VG-RIPE, VG-UANIC] -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

Ok, ти говориш про SCEP. Я не робив підтримку SCEP, шукав/шукаю шлях викрутитись CRL'ем. Якщо не вийде, то тоді буду дивитись в бік SCEP... бляха, от саме цього мені в житті не вистачало :-\ P.S. знаючи мікротів, гадаю, що в SCEP своїх косяків буде достатньо ;-) On 5/31/23 1:25 pm, Volodymyr Sharun wrote:

Привіт,

По-перше навряд чи їх кікне, тому що IPSEC сам по собі працює по PSK (AES), асиметрічна криптографія нереально повільна; по-друге - побачиш, буде експірієнс :-)

Завжди можна запитати maintenance window на 10 хвилин подивитися що як.

GetCRL() не регламентується в домені часу у драфті, на який вони посилаються: https://datatracker.ietf.org/doc/html/draft-nourse-scep-22#section-2.7

Я вважаю що можливо зробити блок серта якимось іншим чином, наприклад: ревок на сервері і одразу Ансіблом клірнути серт на усіх проксях (це швидко) після чого клірнути сессії з цим сертом, їх може бути декілька на декількох аксес пойнтах. SCEP вже не дасть серт, який отозваний.

Мікрот окейно Ансіблом автоматизується, і (псевдо)динамічний інвенторі, тому один у тебе IPSec AP, чи тисяча - не має значення: написав плейбуку і готова.

On 31/05/23 14:00, Volodymyr Litovka wrote:

...

On 5/31/23 12:54 pm, Volodymyr Sharun wrote:

...

Привіт,

Якщо подивитися на імплементований стандарт, то там написано, що ревокейшн - це сервер-сайд процесс, про який клієнтам (проксі) не доповідають.

Питань немає - це дійсно server-side, у мене питання - як форснути _*клієнта*_ релоаднути CRL :)

...

Технічно можна вимкнути (видалити, реплейснути) SCEP server і одразу увімкнути - це (можливо) зробить GetCRL. Цікаво подивитися що буде із сертами від цього сервера після вимкнення.

ну таке... там декілька десятків IPSec-сесій працюють :)

Написав в форум - https://forum.mikrotik.com/viewtopic.php?t=196620 - може хтось там в темі. Але, можливо, прибіжать розробники та почнуть мені розповідати про те, що імплементований механізм - це єдине правильне рішення. Приблизно як колись мене плющили про питання за VTI, а за DMVPN взагалі мозок винесли, що це пропрієтарна технологія Cisco й вони тут ні до чого :)

...

On 31/05/23 13:34, Volodymyr Litovka wrote:

...

Привіт,

ні, переключення crl-download yes->no->yes не даунлодить CRL.

А взагалі є якийсь опис цих грьобаних команд /certificate/settings ? Я шота не можу знайти жодного слова про це.

Дякую

On 5/25/23 2:09 pm, Volodymyr Garnyk wrote:

...

А якщо вимкнути/ввімкнути crl-download - він не перезавантажить одразу?

чт, 25 мая 2023 г. в 15:05, Volodymyr Litovka :

Привіт, та да, саме це я читав, здивувався й подумав - а ХЗ, може можна якось викрутитись.

Блядство, канєшн - ревокаєш компромайзед сертифікат й до години чекаєш, коли мікрот про це дізнається.

On 5/25/23 1:49 pm, Volodymyr Sharun wrote:

...

Привіт,

[admin@mikrotik] > /certificate/ settings/get crl-download  crl-store  crl-use  value-name [admin@mikrotik] > /certificate/ settings/set crl- crl-download  crl-store  crl-use [admin@mikrotik] > /certificate/ settings/set crl-download= no  yes [admin@mikrotik] > /certificate/ settings/set crl-store= ram  system [admin@mikrotik] > /certificate/ settings/set crl-use= no  yes

То, що ти питаєш - хардкодед шняга.

Starting from v6rc10, CRL will be automatically renewed every hour for certificates which have "trusted=yes" using http protocol (ldap and ftp is currently unsupported). Segmented CRL is also currently unsupported.

On 25/05/23 14:12, Volodymyr Litovka wrote:

> Привіт, > > не зовсім розумію питання. > > Є сторонній PKI, який підтримує CRL та експозить їх через HTTP > > Є мікрот, який є VPN-сервером та перевіряє клієнтські серти > на валідність за допомогою цього CRL > > Ну й є клієнти, які конектяться до сервера > > Задача полягає в тому, що коли я роблю revoke серту, то не > чекати ще годину, доки сервер оновить цей CRL, а дати йому > команду перечитати CRL з PKI > > On 5/25/23 1:04 pm, Volodymyr Sharun wrote: >> >> Привіт, >> >> А хто клієнт цього CRL ? Це system-wide чи service-wide CRL >> (як own issue case) ? >> >> On 25/05/23 13:45, Volodymyr Litovka wrote: >>> Привіт, питання є >>> >>> мікрот оновлює CRL раз на годину. Чи є чарівна команда, >>> щоб оновити CRL вручну? Щось я не знаходжу... >>> >>> Дякую. >>> >> >> _______________________________________________ >> uanog mailing list >> uanog@uanog.kiev.ua >> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog > -- > Volodymyr Litovka > "Vision without Execution is Hallucination." -- Thomas Edison

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Vladimir Garnick [nic-hdl: VG-RIPE, VG-UANIC] -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog -- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison

_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog

-- Volodymyr Litovka "Vision without Execution is Hallucination." -- Thomas Edison